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Zelf doen scheelt 


O nlangs kocht Yahoo de bedrijven achter de websites Flickr.com en deJ.icio.us. Een slimme zeU 
want beide sites zijii veel hotter dan het grote, logge Yahoo zelf. Ze wordcn als ccn aanjagerbe- 
schouwd van het nicuwc, pcrsoonlijke web (d(K>r marketingmensen ook wel aangeduid als 'Web 2.0'). 

Eigenlijk, zo coiicludeert ook Boris Velthuijzen van Zanten op de weblog van zijn eigen web-slartup 
Fleck, hccft Yah<K) gcen twee websites opgekochl, maarde innovatieve geest die erachter ziL "Grote 
bedrijven innoveren niet Dat kuonen ze niet", zo beweert hij, Wat grote bedrijven lljken te missen, is 
de innovatiegeest zoals die bijvoorbeeld bij Google heerst. Daar vloeit een groot deel van de lorenhoge 
winsten direct terug naar R&D in het bedrijf zelF Het is bclangrijk voor multinationals om zich wat be- 
Ireft innovatie te blijven spiegelen aan jonge start-ups* Dat is niet alleen goedkoper, he! is ook veel 
beter voor de werksfeer, 

Ook de anekdote die hij erbij vertelt, is een mooie illustratie* In 2003 verkocht Velthuijzen van Zanten 
zijn kletne bedrijf aan een groot (KPN, destijds zo’n 32.700 man groot)* Hij bleef echter als adviseur 
voor het bedrijf werken, en op een dag hoorde hij loevallig van de nieuwe dirccleur dal het bedrijf een 
deadline na bet weekend niet ging halen omdat er nog foto's ontbraken voor een proniotiefolder* 

Velthuijzen van Zanten beloofde hem pronipl om deze binnen drie dagen le leveren. "Zou je dat echt 
kunnen?", vroeg de directeur ongelovig. "Gecn prohlcem", zei Velthuijzen van Zanten. Hij regelde nog 
dat weekend wat vrienden en een fotograaf voor een fotosessie, voor zo’n 2500 euro. De nieuwe direc¬ 
teur was tn zijn nopjes. "0ns zou het weken gekosi hebben", vertrouwde hij Velthuijzen van Zanten 
toe* "We zou den er een project manager opgezet hebhen, en die had dan een fotograaf ingebuurd, een 
modellenbureau, een visagisi, stylist, modeoniwerper en een iocatiescout. Dat zou dan zo’n 35.000 a 
45.000 euro gekost hebben"* Dan denk ik: "Waarom deed KPN bet niet meleen zelf op de snelle ma- 
nier?" 

Het is dus moeilijk om dingen zelf te blijven doen als je 
groter wordt. Maar dat is wel belangrijk, aJs je niet wilt 
eindigen in Dilbertiaanse scenarios waarbij niemand 
rneer innoveert. In dat geval ben je namelijk pas echt 
veel geld kwijt* 

Ook in dit nunimer van iX besteden we weer veel aan- 
dacht aan innovatie, nieuwe technieken en natuurlijk het 
"zelf doen"* Maar, wat vinden jullie ervan? Laat het eens 
weten via ix@fnl.ril* 


PIETER^PAUL SPIERTZ 
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Telefoon zonder telefoonli jn 




!n bedrijven wordf VoIP momenteel 
vooral toegepast voor 
intern qebruik en de 
verbinding met 

Net gratis - -"N ' 

Asterisk is inte- I '\ 
ressant om te ^ ^ ^ ^ X 

gebruiken als iff;'5 ) 5 V 

computerge- U ^ ^ i 

stuurde telefoon- V^- \J « « / 

centrale. Deze V ^ j 

iX-tutoriol helpt je ^ ^ / 

op weg. Daarnaast 
hebben we AVM's Fritz 
Box WLAN 7050 getesf en 
bespreken we de veitigheid 

van Voice over IP. pagino's 70, 76 en 86 




Het nieuwe 


Doordot moderne websjfe£;®e?d^Hn'ter- 
octiever reogeren ]iiken,.z'e.'Stftedi m€«/ op*- .,^ 
desktopapplicatles. jn {3liUverbQn£f\^kojn jei^^ 
vaak de term Ajo'x t,egeii,,5e^>l’im 
binotie von JavaScript;en,XML. Gi^-AjcO! te ' 
gebruiken hoef je je jvebstfe,-niet vijlf^dig 
te herschrijven. DaariKiasrwprcIt oolt \ ■ . 
steeds vaker E4X tOeg^pcrst.'fcmaScr'i^l I • . \ ^ 

voor XML. Het nieiiwe’a'fib krijgt vetdei: I.^\ [ \ 
vorm dankzij nieuwf standjiacden cfife'.in|s^/yY.‘* j. 

de W3C-verwonte^w"THtqr®e^WhatWG;1. \ - <* 
worden besproken. Vl 9 ordsThi^';b^!aas 
zonder medewerklng van M-fcrosort.*- 
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Omschakelen 

Microsoft hod al in 2003 een 64- 
bit variant van .NET 1.1 aange- 
kondigd, uiteindelijk verscheen 
die pas in november 2005. Tege- 
lijk met het .NET Framework 2.0 
verscheen een nieuwe versie von 
Visual Studio. Deze nieuwe 
versie biedt meer ondersteuning 
voor zowel 'quick & dirty' proto¬ 
typing als voor bedrijfsmatige 
productiecode. 

pagina's 1 22 en ] 26 
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Tutorial: IPv6 opzetten 



Zonder al te veel bombarie heeft de al jaren bestaande versie 6 van 
het Internet Protocol zijn intrede gedaan in besturingssystemen. De 
voordelen fen opzichfe van 
IPv4 zitten nief alleen in de 
grotere adresruimte of de 
vaak genoemde Quolity of 
Services, IPv6 is ook vee! 
makkelijker in te stellen don 
zijn voorganger. Wij laten 
zien hoe dot moet, 


pagina's 56 en 64 


Veiligheidsmaatregelen 

Netwerkbeheerders zijn continu bezig om de veiligheid van netwerken en 
computers te garonderen. SSH-oonvallen, rootkits, low-level-hocks en 
rebelse medewerkers houden de gemoederen druk bezig. Als |e het ene 
got hebt gedicht, stoat het volgende ol weer wijd open. Noost uitleg over 

verschillende typen oonvallen, 
ieggen we uit hoe je je daortegen 
kunt beschermen, Ook laten we de 
mogelijkheden voor access control in 
SELinux zien en bespreken we de 
forensische tool Encase. 

pagina's 28, 94, 96, 

1 10 en 114 
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Diversen 


Multimedia op het web: W3C loot SMIL 2.1 
vallen 


Hel World Wide Web 
Consortium heefl versie 2.1 
van de Synchronized Multi¬ 
media Integration Lan¬ 
guage (SMIL 2J) als aan- 
beveling laten vallen 
(w ww.w3 *org/TR/2(X)5/REC 
SMn.2^2(K)512l3/).SMIL is 
een XML-toepassing waar- 
mee webauteurs zowel de 
chronologischc als dc ruim- 
teiijke lay-out kunnen vast- 
leggen van muUimediapre- 
senlaticvs die naast tckst- cn 
grafische elenienten ook 
streaming audio en video 
bcvatlen. 

SMIL 2.1 def'inieert een 


reeks modules die gebaseerd 
zijn op het door W3C in 
2001 gespecificeerde tVa- 
me work ‘Modularization of 
XHTML*. Dczc kunnen dcs- 
ge wen st tot zogen ocmdc 
‘Profiles’ worden gecombi- 
nccrd. Met Language, Mobi¬ 
le en Extended M{>bile Pro¬ 
file zijn nu drie nieuwe mo- 
dulcscls beschikbaar. De 
specificatie hcjudt daarbij rc- 
kening met een breed spec- 
tnim aan mobiele apparateri. 
De sped fie at re bepaall ook 
hoe je nieuwe modules kunt 
defmieren. 

Om “ met het oog op mobie¬ 


le apparaten - de grootte van 
SMlL-toepassingen zo klein 
mogclijk tc houdcn, kunnen 
multimedia-auteurs parame- 
tersets definieren waarop ze 
tcrug kunnen vallen binnen 
een presentatie maar ook 
tussen verschillende presen- 
tatics. De W3C werkL voor- 
taan samen met het 3rd Ge¬ 
neration Partnership Project 
(3GPP2, www.3gpp.org) om 
voor mobile apparaten een 
uniform profiel te ontwikke- 
!cn dat ook inleroperabiliteit 
met het Multimedia Messa¬ 
ging System (MMS) toe- 
staat. 


ICOtf 

mmw$ ^ 

Van Wordpress (word- 
pre.ss,org), wcblogsoft- 
ware gebaseerd op PMP en 
MySQL, is versie 2.0.1 
verschenen. De %^erande- 
ringen hebben voonitame- 
lijk belrekking op de im- 
portfuncties vanuit andere 
blogs, abstraheren van da¬ 
tabases uit bijdragen en 
commentaren alsmede 
(vijf gcdefmieerde) rollcn 
en bevoegdhedeii {nio- 
menteel tw^intig) van ge- 
briiikers. Dc vertaling vtm 
de nieuwe versie in bet 
Xededartds is vnjwel ge- 
reed, Meer info: 
klijmij *net/"-michel/index. 
php/wordpressml. 


Honderd-dollar 

wereld 


Geen gadget stond tijdcns 
de VN-top over informatie- 
samcnlcving zo in de schijn- 
werpers als de IOO-dollar-pc 
voor ontw ikke I i ogslanden. 
De International Telecom¬ 
munications Union (IITJ) 
werd overstelpt met aanvra- 
gen voor de 'Green Machi¬ 
ne’, zoals deze dcK>r Nicho¬ 
las Negroponte van het 
Massachusetts Institute of 
Technology (MIT) (mlwik- 
kelde machine liefkozend 
wordt genoemd. De 500 
MHz-machine gebruikt wei- 
nig stroom, bcschikt over 
een beeldscherm dai ook in 
dc opcnkicht nog ecu gricd 
zicht geeft cn werd als het 
ware h^t symbool van de 
Lop* T(x:gang voor iedereen, 
voor ieder schoolgaand kind 
ter wereld. 

Kofi Annan presenlcerde 
in hoogsteigen persoon sa¬ 
men met Negroponte het ap- 
paraal, dat nog niet verkrijg- 
haar is. Vr^oralsnog heelt 6en 
fabrikant aangeboden de lap¬ 
top voigens de eisen van de 
MlT-onderzoekers te widen 
bouwen. Ook zal duidelijk- 


•pc: notebook voor verenigde 


held mocten worden wat er 
gaat gebeuren met de groie 
hoeveelheid eiektronisch af- 
val die met zoTi grooLschalig 
gebruik gepaard gaat. Mo- 
menteel lopen onderhande- 
1 ingen met andere fabrikan- 
ten en handclspanners. Van 
panner Google verwacht 
Negroponte aansLekelijke 
conceplen. 

In eerste instantie konien 
sleclits zes landen in aan- 
merking voordc 'Green Ma¬ 
chine*. ZiJ verplichten zich 
Lot een afname van I iivil- 
Jocn apparaten cn mocten de 
laptops als vrije leennidde- 
len ter beschikkiiig stellen 
aan school kinderen, De start 
wordt gemaakt in de grote 
ianden, kleinere landen 
moeten wat meer gcduld op- 
brengen. Tot die eerste zes 
landen behoren onder andere 
Brazilie en Thailand. 

Overigens waren niet alle 
deelnemers aan de VN-top 
under dc indruk van het con¬ 
cept. Hoe groot is het risico 
dat ouders de laptops verko- 
pen of dal kinderen worden 
beroofd van het apparaat, zo 


vroegen de sceptici zich af. 
Dcsondanks kregen Negro¬ 
ponte en het MlT-team talrij- 
ke verzoeken. Op de laptop 
draail louter open source- 
software. 

Maar er zijn a! kapers op 
dc kust. Onder de naani 
'Mailstation* hebben ont- 
wikkelaars uit het Britse 
Cambridge een knalgeei 
apparaatje gemaakt dat wc- 
zenlijk goedkoper uitvall 
dan honderd dollar. Gebmi- 
kers in verafgelegen gebic- 
den kunnen hiermee via sa- 
Lclliet e-mailen. De eisen 
aan stroom en band breed te 
zijn minimaaL waardoor 
dit apparaat makkeiijker 
kan worden ingezel dan 
een gangbare pc, aldus 
de iniliatiefnemers, 

Zij bieden ove 
rigens ook 
een 
dien.si 

die band- 
breedte-ver- 
slindende afbeeL 
dingen uit webpagi- 
na’s fillcrl. 


Bij Google Video 

(video.goc>gle,com) kun¬ 
nen surfers video*s zoe- 
ken, huren of kopen. Het 
eerste matcriaal van de 
zender CBS en de Ameri- 
kaanse basketbalcompeti- 
tie is reeds bcschikbaar. 
Daamaa.st worden films 
ook gratis aangeboden, 
maiir daarbij gaat het 
nieestal om stukjes huis- 
vlijt. Google biedr sinds 
begin dii jaar ook een soft- 
warepakket aan onder dc 
naam Google Pack, waarin 
onder andere Google 
Desktop en Google Earth, 
maar ook Acrobat Reader 
en Fire fox zitten 
{pack .google .com). 
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Diversen 


Dual core in overvloed 



De Core Duo-notebook MacBook Pro is iets platter dan lijn 
voorganger PowerBook. 


Het mccst opzicnbarende 
nieuws van Apple-baas 
Steve Jobs lijdens zijn ope- 
ningslocspraak op de Mac¬ 
world was de vervRiegde in- 
troductie van de n'leuwe 
Intel-Macs- Daar[nee kxijgen 
MacOS-gcbruikcrs voor het 
eerst een alternatief voor de 
PowerPC-systemen. Als eer- 
ste syslcmen hcefl Apple 
daarvoor de iMac en de Po- 
werBook nitverkoren. Daar- 
in niocl Inlcls jongslc won- 
dcrkind, dc ondcr codenaam 
Yonah onrwikkelde Pentr- 
umM-opvolger van de Cenl- 
rino-serie, zijo opwaehting 
maken. 

Deze ‘Core Duo’ genoem- 
de processor beschikl net als 
zijn groLcre brocrs Pentium 
en Xeon over twee kernen, 
die echter een 2 MB grote 
L2-cache dynamisch tegelijk 
gebruiken. Dat betekent dat 
de toekenning van het cache- 
geheugen alJiangl van dc be- 
lasting van de kernen. Slaapt 
de ene, dan krijgt de andere 
toegang lot de gcdeeldc 
cache. 

Zoais te verwachten was 
bij zo’n grote verandcring, 
kan de nieowe epu niet met 
de huidige chips en moeder- 
borden overweg. De enige 
beschikbarc chipsets zijn de 
Intel Mobile 945 en de 
945M met geintegreerde 
graphics, waarvan het werk- 
geheugen (PC2-5300/DDR 2- 
667, 333 MHz) is afgestemd 
op de frontsidebus (FSB667, 
Quad-pumped 166 MHz). 

Zeven modelien staan er 
op de roi, waarvan er vier 
(oplopcnd in kloksnelheden 


van U66 GHz tot 2J6 GHz) 
maximaal 31 watt verbrui- 
ken. De twee low-voltage- 
varianten (resp. 1,66 en 1,5 
GHz) verhruiker 15 watt. 
Vervolgens is er ook nog een 
variant genaamd Core Solo, 
die (wer een kem bcschikt 
met een kloksnelheid van 
1,66 GHz. 

Hot bcstnringssystcem is 
een x86-versie van het pas 
uitgebrachte Mac OS X 
10,44, hctgceii duidclijk 
maakt dat Apple uitslnitend 
inzet op 32-bit, De uiceinde- 
lijke soft wareloepass ingen 
zijn zogenaamde 'fat hina^ 
ries’ die zowel op PowerPC 
ais Iniel-cpu’s draaien. Deze 
software zal het ‘UniversaP- 
logo dragen. Overige soft¬ 
ware nioet met behulp van 
de vertaalengine Rosetta ge- 
schikt gemaaki worden voor 
de Intel-cpiPs. 

Twee iMacs zijn iniussen 
besehikbaar: een IT-ineh 
versie met 512 MB geheu¬ 
gen, 160-GB seriele AT A 
harde schijf en een 1,83 GHz 
processor voor 1379 euro en 
een 20-iiidi vjiriant die draait 
op 2,0 GHz met een 250 GB 
harde schijf. Deze gaat voor 
1799 euro over de toon- 
bank. 

Daarnaast presen- 
teerde Jobs ook 
de opvol- 
gers van 
de Power- 
Books met 
Intel Core Duo-pro¬ 
cessor, de MacBook Pro. 
Ook hiervan zijn er inniid- 
dels twee van an ten. Bentje 
met 1,67 GHz epu, 512 MB 


cn 80 GB harddisk voor 
2139 euro en een 1,83 GHz- 
versie met 1 GB geheugen 
en 100 GB harddisk voor 
2689 euro. 

Maar Apple is niet de 
enige met een Core Duo lap¬ 
top. Ook Acer, Asus, Dell, 
Fujitsu-Siemens, Lenovo en 
Sony hebben al nieuwe mo¬ 
del len met deze dualcorc 
processors geianceerd - van 
subnotebooks en tablet-pc’s 
tot multirnedia-faptops en za- 
kelijke notebooks. De over- 
stap van Apple op Intel heeft 
dan ook voor een oiiver- 
wacht ncvcnclTccl gezorgd, 
Nu is namelijk voor het eerst 
een directe prijsvergelijkitig 
tussen Apple- en nicl-Apple- 
iiotebooks mogelijk, waarbij 
de hoge prijs van Apples 
aanbod wcl erg opvalt. 

Natuurlijk zit ook Intel- 
concurrent AMD niet stiL 
Ondcr dc codenaam Taylor 
werkt het bedrijf aan een du- 
alcore-variant van de Turion 
64. ill tegenstelling tot dc 
1 n tel - model 1 en besc h i k ken 
deze processors ieder over 
een eigen L2-cache van 1 
MB. Een ander versehil is 
dat Taylor een 64-bit-proceS' 
sor is en dat deze direct de 
virtual isaiieicchniek Pacillca 
ondersteiint. De Intel-variant 
Yanderpool komt pas met de 
volgendc generatie Core 
Duo’s. 




Mm^w3 


open-Xchange biedt van 
deze gelijknamige Linux- 
groupw'are gratis cen 
Live-CD ter download 
aan (w w w ,ope n - x chan - 
ge. L' om/EN/prod u c t/ 
livecd.html). Als client 
kan iedere wiljekeurige 
webbrowscr gcbruikl 
worden. Tevens bestaat 
de mogelijkheid om Out¬ 
look Le koppelen via de 
Outlook-OXteiider. Daar- 
naast kan met de nieuwe 
Samba-OXtender Open- 
Xchange geschikt ge- 
maakt worden om Win- 
dows-clients bestands-, 
prinL cn logindiensten te 
hieden, Deze extensie 
ko.st 250 euro voor 25 ge- 
bruikers. 

Gedys Intraware heeft 
zijn gelijknamige CRM- 
pakket gebundcld met het 
gratis kantoorsoftware- 
pakket OpenOffice. Ge- 
gevens uit beide pro- 
gramma’s kunnen pro- 
bleembos worden uitge- 
w'issdd. Tnirawarc is 
gebaseerd op Lotus Notes 
Domino en IBMs Work¬ 
place, 

B in nenkort wordt naar 
verwachling de certitlce- 
riiig door de Federal in¬ 
formation Processing 
Standard (FIPS) van de 
gratis verkrijgbare ciy^p- 
tografiebibliotheek 
OpenSSL afgeroiid. Dtt 
houdt in dat ook Caiiade- 
se en Amerikaanse 
overheid sins tell ingeii de 
eerste geeertificeerde 
o pe n s o u roe-vers le u te - 
lingssoftware kunnen 
gaan gebruiken voor ver- 
trouw'elijke documenten. 


Sony's entertainment-notebooks uit de Vaio-FE-serie met 
Core-Duo-processor behoren tot de grote concurrenten van 
de MacBook-Pro. 
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Diversen 


Standaardisering: Microsoft XML-formaten 
voor Office 12 


ornce Open XML, de 
XML-formaten voor de toe- 
komstige Office-generatie, 
wt)rcil door Mierosoft in .sa- 
menwerking met bedrijven 
als Apple, Intel en 
'foshiba ingediend bij de 
European Computer Manu¬ 
facturers Association (EC 
MA)* Docl hiervan is om UH 
een open slandaard te 
komen. De XML-formaten 
geveii alle cigcnschappcn 
van de hinaire Office-forma- 


De afgclopcn maanden is 
er door een scleclc groep 
retailers in Amerika getest 
niet een nicuw online be- 
laalsysleem, dal ontwik- 
keld werd door Google. 
Volgens een bertchi in de 
Wall Street Journal kunnen 
adverteerders door middel 
van Gbuy (de vermocdelij- 
kc naam van dc service), 
hun spullen direct verkopen 
via de resultalenpagina's 
van Google. De zoekgigani 


Fabrikanten verenigt in 
hcl Digital Video Broadcas¬ 
ting Forum werken aan een 
n ten we vorm van Digital 
Rights Management (DRM). 
De nieuwc kopieerbeveili- 
ging, die Content Protection 
Copyright Management (CP 
CM) gaat hclcn, zal ook 
voorgelegd worden aan het 
European Tclecommunica- 
LiouK Standards Institute 
(ETSI), waarmee Europa 
een DRM-implenientatie 
gaat volgcn die dc omstre- 
den ‘US Broadcast Flag’ 
overt reft. 

Met CPCM wordt bij uil- 
/ending cen speciaal signaal 
meegestuurd, waarmee bij- 


ten weer en vereenvoudlgen 
daarmee de beschikbaarheid 
van bedrijfsgegevens, aldus 
Jean Pauli, XML-architecl 
bij Microsoft. 

OpenOffice.org reageerde 
in cersle instanlic enthou- 
siast op het voomemen van 
Microsoft, maar beklaagde 
zich korl daama over de li- 
centie. Tegelijkenijd is be- 
paaid dat de Amerikaanse 
staal MassachusellSf die 
vanaf 2007 overstapl op 


openl hiermee een direcle 
aanval op PayPal, dat het 
betalingsverkeer op internet 
vooralsnog domineerl en in 
2CX)2 door eBay werd over- 
genomen. Dat heeft de vei- 
Ungsite overigens geen 
windcieren geiegd, want in 
het vierde kwartaal van 
2005 was 23 procent van 
dc inkomsten van eBay af- 
komstig van PayPal. In to- 
laal was dal ruim driehon- 
derd miljocn dollar. 


voorbeeld bepaald kan wor¬ 
den of jc bepaiildc Lv-pro- 
gramma’s mag opnemcn en 
hoe lang je ze kunt bewaren. 
Nog altijd is de ‘bmadcust 
flag’ een omstreden maatre- 
gel, want anders dan in de 
VS gaat men in Europa er 
van uil dal alle landen 
achter de CPCM-standaard 
nioeten staan en dal fabri- 
kanlcn hun volledige medc- 
werking verlenen. 

In principe valt alle digi- 
taie content die op welke 
wijze dan ook tot je komt 
onder de CPCM. Een mas- 
sale omarrning van deze 
nieuwe kopieerbeveiliging 
valt dan ook te betwijfeleii. 


open documentstandaarden, 
de openheid van Microsoft- 
formaten nauwgczel contro- 
leert, Massachusetts zou in 
elk geval in de VS een strui- 
kelblok kunnen zijn voor 
cen open versie van Office, 
temeer daar er met Open- 
Document van de Organiza¬ 
tion for the Advancement 
of Structured Information 
Standards (OASIS) een 
goed allcmalicf beschikbaar 
is. 


Xen lanceert 
versie 3.0 van 
virtualisatie- 
software 

Onlangs werd versie 3.0 
van de v irtual i sat iesuft ware 
Xen uilgebrachl. Xen 3.0 
(www.xensource.com) on- 
dersteuni gastsystemen met 
maximaal 32 processors. 
Stapsgewijs toevoegen tij- 
dens runtime behoon even- 
cens Lot dc mogelijkheden. 
Tevens ondersteunt deze 
versie de nieuwe virtualisa- 
tie tech nick Vanderpool 

Technology (VT) van Intel. 
Een vergeiijkbare technolo¬ 
gic levert AMD met Pacifi¬ 
ca die voor later dit jaar ge- 
pland staat. 

Ten opzichte van de vori- 
ge versie schiel Xen 3.0 nog 
op enkele punten te korl. Zo 
worden alleen Linux-gast- 
systemen met een 2,6-kcmcl 
ondersteund. Er wordt ge- 
werkl aan ondersteuning 
voor kernel 2.4, Free- en 
NetBSD alsmede voor Sola¬ 
ris. Ook Windows XP zal 
ais gaslsyslecm later dit jaar 
volledig ondersteund wor¬ 
den. 


Google ontwikkelt 
tegenhonger PayPal 


Super DRM voor de toekomst 





De Samba-ontwikkelaars 
hebberi de eersle technjcai 
preview van Samba 4 uit- 
gcbruchl. VtKir gebruikers 
beiekent dit 0 , 0 . dal ze ken- 
nis kurmen maken met de 
nieuwe Active Directory- 
ondersteuning. De defini- 
tieve versie wordt rond de 
zomer verwacht. 

Mel de Content Security 
module van Cisco kunnen 
aan dc Adaptive Security 
Appliance (ASA) firewall 
uit de 551X)-serie cen reeks 
van beveiligingstcclmieken 
toegevoegd worden. In 
deze module zitten antivi¬ 
rus, an I i spy w^irc, amiphis- 
hing, antispam, url-bloc- 
king en -filtering en content 
H He ring (in sa menwerking 
met Trend Micro). Voor hcl 
be Keren en uitvoeren van 
dc beveiligingsinaatrcgelen 
biedl dc netwerkkvenmeier 
de Security Management 
Suite, waarin o.a. een nieu¬ 
we Security Manager zit en 
een update van Cisco Secu¬ 
rity MARS. Tot slot is aan 
dc ASA 5500-rirewal!s en 
lOS routers nog een SSL- 
VPN toegevoegd. 

Om vragen van kluntcn tc 
kunnen beantwoonJen heeft 
wcbwiukel Wchkamp on¬ 
langs een dialkanmil ge- 
start. Hoewel de suppori- 
metiewerkers volgens Weh- 
kamp mtm twee kecr zo 
lang bezig zijn met het be- 
antwoonden van een vraag 
via chat dan met cen iclefo- 
nische vraag, staat daar le¬ 
ge no ver dat de nredewer- 
kers mccrdcre chats tegelijk 
kunnen onderhouden - lets 
wat met de telefoon niet 
kan. Hdcmaai nicuw is ^n 
klantcnscrvicc door middel 
van een cliatmogeUjkheid““ 
niet. Adviesdtemi Htiis en 
Hypotheek sUutte in 2()(>4 
reed.s met een eveneens 
door LiveCom ontwikkelde 
chatmogclijkhcid. 
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Wire less-LAN 
(model WLAN) 


2 an a logo poorten 
voor aanwezige 
telefoontoestellen 


i LAN-poort 
1 USB-poort 


CeBIT! 2006 

Hannover 9. bis 15. Maart 


i AVM in Hai lB 
I Stand C48 


ADSL/ISDN/analoog 


FRITZiBox Fon - voordelen op een rij 

Voice over IP teiefooncentraie met twee 
anaioge toestelpoorten 

• Internet-telefoniezonderpc 

• Krachtige. moderne ADSL*fouler/niodem 
(leverbaar voor ISDN- en anaioge ADSL lijnen) 

• Bandbreedtebeheer - teiefoneren en surfen 
via ADSL met optimale kwaltteit 

• Bereikbaar onder huidige telefoonnummer 
(ISDN of analoog) 

• Gemtegreerde firewall met poortvrijgave voor 
veilig surfen op internet 

• Aansiuiting voorpc via LAN- en USB-poorl 

• Verkrijgbaar zonder of met WLAN: 125 Mbps 

e n i nge bo u wd e vei Lig h eid i 


FRITZlBox Fon ^ dit zegt de pers 


" De FRITZ! Bok Fon levert een Liitstekende. 
jelfs betere audiokwaliteit dan een tracfitionde 
teleloon" 05/05 

DCtn "Hter qverfieerst en de FRITIlBtwc 

^ heeft a Is extra onder meer huiscentralefLinciio- 
naliteit" 

“ Op her gebied van de WLAN-basisbeveiliging 
Uial AVM aan alLe andere apparalen 
hoe het moehde W E P-vers leu teling was hlj 
aftevB ri ng geactiveerd/ 02/05 J 


Internet om over te praten 

Met FRITZ! super eenvoudig via internet teiefoneren 

Met FRITZlBox Fonen FRITZlBox Fon WLAN wordt teiefoneren via internet zo 
gemakketijk als het moetzijn. Aanwezige telefoons op FRITZlBox Fon aansluiten, 
hoorn opnemen, kiezen, klaar. Vanaf nu telefoneert u met Voice over IP (VoIP) 
via het internet - zonder uw pc in te schakelen. Met FRITZlBox Fon blijft u op 
uw huidige telefoonnummer bereikbaar. Zo wordt VoIP kinderlijk eenvoudig 
en spotgoedkoop - met de beste spraakkwaliteit. 

En 00k voor alle overige ADSL-functies zijn FRITZlBox Fon en FRITZlBox Fon WLAN 
uitstekend uitgerust. De slimme combinatie van ADSL-router. ADSL-modem en 
Voice over IP teiefooncentraie met optie op Wireless LAN maakt bijna a lies mogelijk: 
snel surfen en mailen met een of meerdere pc's, het aansluiten van anaioge 
rand-apparatuur zoals fax of antwoordapparaat evenals telefonie via internet 
of bet vaste net. 


Vraag bij XeloQ, Budget Phone of Netfoon 
naar Voice over IP en FRITZlBox Fon. Of kijk 
op www.xetoq,com, www,budgetphone.nl 
of www.netfoon-voip.nl voor meer informatie. 


Internet-telefonie 
(Voice over IP) met 
FRITZlBox Fon 


I enuiL info^Keloq.com 
www.xeloq.com [ 
I TcL 013 - 5 £dE 9638 


I ematU infa 0 budgetphone.nL I 
www.hurigeipLioneJil [ 
I TeL on -5819688 


(((N)|tf<^SN 

I email; infa 0 net^aan.nl 
Web: www.fietfo<in-vo[p.nl | 
TcL: 039 - SSi II 6 B 


www.avm.de/en 


High-Performance Communication by... 
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Open sourcelicenties 




Ontwerp van de GNU GPL versie 3 

Meerderjarig 

Tobias Haar 



Bij zijn 18e verjaardag in 2007 zat de General Public License worden oongepost aan de veranderde 
omstandigheden in de juridische IT-wereld. Van de nieuwe versie 3 is een ontwerp gepubliceerd, dot 
bewijst dat de makers een kritische blik hebben geworpen op de wettelijke regelingen en de technische 
ontwikkelingen omtrent potenteerbaarheid von software en Digital Rights Management. 


T hen Richard Stallman in 
januari 1989 de General Pu¬ 
blic License (GPL) presenteer- 
de, deed hij dai in hei kader van 
de ontwikkeling van een com¬ 
plect vrij besiuringssysleemH 
hei GNU-project, en had hij 
nog geen idee welk succesver- 
haal hienioor in gang zou wor¬ 
den gezei. De GPL heeft ge- 
schiedenis geschreven, vooral 
versie 2 die sinds 1991 bestaai. 

Baanbrckend was bet vonnis 
van de rechtbaiik te Miinchen 
op 19 mei 2004, waar voor hei 
eerst een (positief) vonnis werti 
geveJd omtreni de geldigheid 
en jnridische haalbaarheid van 
dc GPL - een paar zaken in de 
VS waren eerder namelijk bui- 
ten de rechlbank om gesehiki. 
Toch was hei niei alleen rozen- 
geur en maneschijn» want de 
overwinning bleek Le tlanken 
aan cnkeic juridische kunsigre^ 
pen van de rechters om de 
opzet van de GPL te verenigen 
met hci Duitse rechu Want het 
lijkt vreemd, maar in principe 
gaai het bij de GPL oin algeine- 
ne handelsvoorwaarden en die 
worden in Du its land aan een 
.strenge controle onderworpen. 
De rechters vonden uitcindclijk 
dat degene die GPL-software 
gebniikt en in veranderde vonn 
verspreidt aan de condities van 
de GPL gebonden is. Als hij dat 
niet doet> verliest hij atitoma- 
tisch alle liccntiercchtcr! aan de 
eigenaar van de rechten. In de 
i-echtszaak had de bekJaagde bij 
de herdistributie van het GPL- 
gelicentieerde werk niet naar de 
GPL verwezen of de vereiste 
copyrightnotilie geplaalst* Een 
ander helangrijk punt was het 
hesluit van de rechtbank dat 


Engels nu eenmaal de gebmi- 
kelijke vaktaal in de computer- 
branchc is cn dal je dus de 
Rngelstalige GPl . (die aJIeen in 
de originele versie bindend is) 
in het Duitse rcchts- cn busi- 
nessverkeer legitiem kunt ge- 
bruiken als ticentie, Ook dal 
was ondcr de jurislen lang 
onistredc!i. A1 met a I zorgde dit 
vonnis voor een duideljjk Einl- 
woord op juridische vragen. 

Discussie gewenst 

De Free Software Founda¬ 
tion (FSF), die door Richard 
Stallman in 1985 is opgericht, 
heeft in januiu-i 20fJ6 op de 
website gplv3.fsf.org cen ont¬ 
werp gepubliceerd voor een 
herziene versie 3 van de GPL. 
De organisalie nodigt alle gei’n- 
tcrcssecrden uit om over de nie¬ 
uwe licentie mee te discussie- 
ren* De FSF wil de nieuwe 
GPL3 namelijk officieel uii- 
brengen op 1 januari 2007. In 
het ontwerp voor dc nieuwe 
ickst zijn de GPL-autcurs irouw 
gebleven aan hun vrijheidsidea- 
len. Ze eisen bijvoorbeeld dat 
onder dc GPL uitgcbrachtc 
software niet mag worden ge- 
bniiki voor onweiiige privaey- 
schendingen. Ook is dc GPL3 
een teken des tijds: de auteurs 
willen hei idee van vrije soft¬ 
ware - ook al is GPL-softwarc 
puur Juridisch gezien allesbe- 
halve „vrij“ - expliciet verdedi- 
gen tegen softwarcpatcnien, 
DRM-technieken en andere 
modeme pogingen om propriii- 
Uiire software te beschermen, 
Het is meer dan een juridische 
oorlogsverklaring, die opnieuw 


een spannende juridische dis- 
cussic Lot gcvolg zal hebben. 

De preambie van het huicli- 
ge ontwerp bepaall het doel van 
de GPL. Veiiaald staai hicr: 
„De li cen ties van de meeste 
software zijn ontworpen oni je 
vrijheden om die software ic 
delen of veranderen af te pak- 
keii. De GNU General Public 
License garandeert juist dat je 
de vrij held heht om vrije soft¬ 
ware te delen en veranderen - 
om CT zeker van tc zijn dat dc 
softwaie voor al haar gebrui- 
kers vrij lieschtkbaar Heel 
bebuigrijk hierbij is dal dc GPL 
niet wil voorkomen dat onder 
de GPL uitgebrachte software 
winstgevend wordl gebruiki, 
Wei cist dc GPL dat iedereen 
die dit doet zijn klanten dezelf- 
de rechten inoeL geven als de 
verkoper dankzij de GPL liecft 
verkregen. Dit betekent dat de 
volgende gebmiker toegaog lot 
dc broncodc moct hebben. dat 
hij dc software compleet of gc- 
deeltelijk mag veranderen en 
deze in nieuwe producten mag 
opnemen, waarvoor dan weer 
dezelfde basisregels gelden. 

Dc Icverancicr mod in cen 
bcpaaldc vorm verwijzen naar 
de GPL, zodat de gebruiker 
over a I deze condilics word! ge- 
informcerd. Vermcnigvuldi- 
ging, verandering en versprei- 
ding van de software moden 
dus kxrgestaan zijn en om dit te 
kunnen doen moet je toegang 
hebben tot de broncode. En om 
dit recht op tic bronccxlc te ken- 
nen, moer je tenslotte de GPl. 
krijgcn cn kunnen lezen. Zo- 
lang icmand aan deze cn andere 
voorwaarden voldoet, mag hij 
een GPL-gelicentieerd pro- 


gramma gebruiken. Net als btj 
versie 2 van de GPL verliest 
een gebmiker al zijn rcchtcn als 
hij zich niet aitn deze spelnegels 
houdt, Dat is een regel ing die 
ook de rechters in Miinchen 
geoorloofd vonden, Anders dan 
bij versie 2 moet de eigenaar 
van cle gebruiksrechlcn. de out- 
wikkelaar van hd programma 
dus, de schender over dc schen- 
ding iiilichten voor een verlies 
van de gebmiksrechten en kan 
de oniwikkclaar hem pas hiema 
deze rechten ontzeggen. Hier- 
door krijgt de schender nog een 
kans om achteraf aan de plich- 
ten van de GPl. te voldoen, oin 
zo toch nog de gebruiksreclUen 
te verkrijgen. Alleen in geval- 
len waar in liij al eigen produc¬ 
ten heeft gemaafct waarin op 
onrechlmalige wijze GPL-sofl- 
waie is opgenomcn, bicdl dit 
vaak onvnidoende soelaas. Dan 
is liel ook mogelijk dat hij deze 
produeten zelf GPL-conlbmi 
moet maken, bijvtx>rbeeld door 
liet toevoegen van copyright no¬ 
li ties cn GPL-verwijzingen. 

Gedoodverfd? 

Een andere vraag is in hoe- 
veme de G PL3 ook de opvoiger 
zal worden vtx)r oorspronkcHjk 
onder de GPL2 gelicentieerde 
programma’s. Linus Torvalds. 
zei dat hij liel vrije besturings- 
systeem niet onder versie 3 wil 
uitbrengen en dal GPL3 ook 
niet automatisch v<xir Linux zal 
gelden. 

Belangrijk hierbij is dat tot 
nu toe alle GPL-versics, net als 
het nieuwe ontwerp overigens, 
gebmikers van de GPL-Iiceritie 
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de mogclijkhcid nanbiedeji oin 
hun programma's ondcr dc 
actiiele GPL-versie en automa- 
tisch onder latcrc vt;rsies be- 
schikbaar te makcn. Als jc zon- 
der nadenken of per ahuis je 
prograinma zo liebl gelicenti- 
eerd, kun jc misschien niei le- 
geogaan dat je je programiiia 
niet onder vmie 3 will Iicentie- 
re n. 

GPL versus DRM en 
patenten 

In Digital Rights Majiage- 
meat (DRM) zicn do auteurs 
van de GPL3 een grote vijand 
van het *free software' idee. 
Daaroin staal in liet ontweip de 
clausule „...dLis zorgl dc GPL 
ervoor dai GPL-geliceniieerde 
software tiooit onderwerp van 


digitale beperkingen zai zijn of 
andere prod uc ten daiiruan zal 
onderwerpen als deze niet om- 
zeiid kunnen wordeiu“ Rti her 
giuit nog verder, wan I de inlei- 
ding v(K>r dc licende cist dai je 
de complete GPT. ahijd in die 
zin tnoei inierpretereii. Je mag 
dus DRM-tcchniekcn in GPL3’ 
gelicentieerde programma's ge- 
bruiken, maar je moet een ‘es¬ 
cape" hebben waardcK>rjc jczclf 
aan deze teclinieken kunt ont- 
trekken. Uiteindelijk lijkt daar- 
mec bercikl wal de auteurs 
waarschijiilijk wilden: DRM 
prim a, maai- zondej- de GPL. 

Vooral dc Icgenstandcrs van 
de voorlopig gefaalde EU-plan- 
nen vDOr softwaj^epatenten zul- 
len het leuk vinden dat her 
GFL3-onlwcrp ook dit onder¬ 
werp (uitgebreider) behandelt 
en GPL-gelicentieerde software 


tegen een patentinonopolie 
wit beschermen. Het ontwerp 
beschrijft dit op eenduidige 
wijze: „Om dit le voorkomon 
maakt de GPL duidelijk dat 
iedereen een vrije patent I i- 
centie moet knjgen of dm he- 
lemaal geen licenlies mogen 
worden verleend." Ook het 
verandereri van aldus geli- 
centieerde software is alleen 
zolang toegestaan als deze 
veranderingen niet voor pa- 
tentrechtzaken tegen andere 
gebruikers worden gebruiki. 
Belangrijk is ook dal bet ont¬ 
werp voor GPL3-gelicentie¬ 
erde programma’s autonia- 
tisch het recht geeft op een 
gratis licentie van het patent. 
Interessanl is ook het rochl 
om gebruikers hun GPL-ge- 
bruiksrechten in bepaalde ge- 
vallen te kunnen ontzeggen 


als zij paten tree htszakon aan- 
spannen of daarbij betrnkken 
raken. 

Conclusie 

Hcl ontwerp van de GPL 
versie 3 is niet alleen maaj- 
oode wijn in iiieuwe zakken. 
maar biedl op vcci plckkcn 
inleressante mechanismen 
tegen softwarepalenlen en 
DRM. Het blijft spiuincnd wat 
lijdens de discussie nog gaat 
veranderen. Ben ding is wel du“ 
idelijk: open source leeft en ziil 
zich op vcle gebieden met de 
GPr3 aan de veranderde Lijd 
aanpassen. 

TOBIAS HAAR, LL.M. 

is gespecialjseefd II-advocaa[ 


E-overheid steeds meer in beeld 


Net als voorgaande jaren Is 
ook het afgelopen jaar de 
dienstverlening van dc overheid 
op internet ;ianzienlijk verbe- 
terd. Vooral de actualiteit van 
de overtieidswebsites is slcrk 
gestegen. Maar opmerkelijk ge- 
noeg is de waardering van de 
burger voor deze sites juisi af- 
genomen naar een magcrc 6.5. 
Een op dc drie be/oekers vindt 
bovendien nog altijd niet wai 
liij zoekt. Of daar icls aan gaat 
verandcren is matir dc vraag, 
want waar internetwinkels ink 
zijn op webstatisiieken en docL 
groepondorz(x;k heeft dc over¬ 
heid daarvoor opvallend weiiiig 
aandacht. Er is weinig informa- 
tie over bczockcrsaanlallcn, 
wie zfi zijn en wat ze op de 
website doen of zoiiden willcn 
doeii, 

Dat blijkt tenminste uit de 
jaarlijkse ‘Overheid,nl Mom- 
tor", waarvan rninisler Pcchtold 
onlangs de editie 2005 in oni- 
vangst nam. De cijfers zijn af- 
komstig van de Servicemeler, 
die zo"n 5(XX} men sen bij 50 
o verhe idsorgan i saties di g itaai 
heeft ondervraagd (zie ook: 
www.digitaalbc.stuurnl). Meer 
dan dc helft van hen komt nii- 
nimaaf een keer per maand op 



een website van een over¬ 
heid sins lel ling, 

Hcl kabinct sirccft emaar om 
in 2007 mi listens 65% van de 
overheidsdiensten via iniemei 
aan tc bieden. Volgens dc mo¬ 
nitor ligt die ontwikkeling ook 
keurig op schema: in 2005 be- 
droeg het percentage 55% cn in 
2(X)4 50%. De details laten zien 
dat vooral gejiieeiiteJi met min¬ 
der dan 50.(XX) inwoners ach- 
tcrlopcn. Ook landclijk zijn de 
cijfei's redelijk goed: van de 
rijksdiensten bieden de Belas- 
tingdienst, de IBG en het Ka- 
daster sinds 2CX)5 al hun dien- 
sten aan burgers 
voor 100%: digi- 
taal aan. Voor he- 
drijven is dat aJ- 
Icen nog hcl Ka- 
dastcr, want dc 
Relastingdienst zit 
op 88%^ cn de Ka- 
mers van Koop- 
handel op 67%. 

Een van de or¬ 
gan isaiics die het 
sterksi bezig is 
met de e-overheid 
is dc slichting 
[CTU. Toen die in 
aprii 2001 werd 
opgericht, werden 


er nog lal van nieuwe ideeen 
bcdacht. maar tegen woordig 
bcschouwf de ICTU ict vooral 
als een inlegratieopgave. Een 
van de inilialicvcn vtin ICTU is 
bijvoorbeeld het OSOSS-pro- 
gramma, dai het gebruik van 
open standaarden heeft gcsli- 
mulcerd. Ook i.s dc slichting 
veraniwoordelijk voor bui~ 
ger@ovedieid, Govcertml, PKi 
Overheid cn de Waarschu- 
wingsdiensL 

Sinds 1 januari is OSOSS, 
net als DigiD, ondorgcbracht 
bij GBO.Overheid. De belang- 
rijkste producten die ICIll de 
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komendc jtircn zal prcscnicren 
zijn zogcheten E-tbnnulieren, 
hu rgerserv i cenu m rners (B S N J 
en het nieuwe DigiD, cen cen- 
Iraal vcrificatiesysteem (een 
gebruikersnaam en een wacht- 
woorcl) van en voor de over¬ 
heid op internet. Dat loopt 
goed: er zijn al 430.(XX) DigiD's 
aiingevraagd op www'.digid.nk 
Onder andere dc Bclasting- 
diensk de Sociale Verzeke- 
ringsbank en een aantal 
gerneenten werken er al mec. 

Je kuni een DigiD ook 
gebmiken om belastingaangifte 
mee le doen. 


De website 
van het Mink 
sterie van 
Volksgezond- 
heid, Welrijn 
en Sport voi- 
doet her best 
oan de Web- 
richtlijnen 
voor 

gebruikers- 

vrtendelijk- 

heid. 
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Besturingssystemen & Software 


Gratis VMware Player met Mozilla Firefox 
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Ubuntu Linux met Firefox in octie in een Tirtuele machine. 
Van het plaHorm, hier Suse Linux 9 , 3 , is niefs meer te lien. 


Voor het aansluren van 
kant^en-klarc virluele ma¬ 
chines biedt VMware sinds 
kort de VMware Player gra¬ 
tis Lcr download aan. De vir- 
tualiseringssoftware werkt 
onder Windows en Linux. Je 
kunl de Player net als een 
gewone toepassing installe- 
ren* VMware Player onder- 
sleunl 32- en 64-bt£ toepas- 
singen en besturingssyste- 
men. 

VM"s kunneii door der- 
den beschikbaar wordcn ge- 
maakt. niaar je kunt ze ook 
zelf aantnaken met ESX- of 
GSX-Scrver ol’ met VMwa¬ 
re Workstation. Zodoende 
kun je je persoonlijke werk- 
omgeving sarnen met U>c- 
passingen en gegevens in 
een VM verpakken en op 
een netwerk vanaf een wille- 


keurige plants gebruikeii met 
de VMware Player. Een ver- 
sie voor ontwikkelaars staat 
nog in de startblokken. 

Sanien met MozilJa biedt 
VMware daamaast een gra¬ 
tis VM aan. waarin Firefox 
als browsertoepassing onder 
Ubuntu werkl. Het gebruik 
van internet vindt daarmee 
plaats binnen een beveiligde 
virtucle omgeving, waarin 
adware, spyware en andere 
schadelijke software geen 
kans krijgen zich ic nestclen. 
Persoonlijke gegevens zijn 
natuiirlijk alleen echt veilig 
als dc gebruiker bij hcl ver- 
laten van de VM het plat¬ 
form in zijn oorspronkelijke 
toesiand terug/el. Je kunt 
ook een automatische reset 
configureren. Overigens eist 
VMware wel voldoendc re¬ 


sources: ecu test onder Win¬ 
dows XP op een laptop met 
256 MB zorgdc nicl echt 
voor een jubelslemming. 
512 MB wwkgeheugen is 
wel het minimum. Op de 


VMware-website (www. 

vmware .com/products/ 
player) kun je inmiddcls 
mecr dan Iwintig virtuele 
machines gratis downioa- 
den. 


SAP: inkijk met Euclid 


De oprichter van SAP, 
Hasso l^laltricr, was zeer cn- 
thousiast over de snelheid 
van de zoekmachine van 
Google en beloorde dc SAP- 
gebniikers onmiddeilijk iets 
vergelijkbaars. Samen met 
Inlel zeltc hcl bedrijf onder 
de codenaam Euclid dan ook 
een iiiitiatief op om cieze 
niissie te volbrengcn. De eer- 
sle implcmcntatic is inmid- 
dels beschikbaar als vSAP BT 
(Business Intelligence) Ac¬ 
celerator. SAP hicld zich 
bezig met de software cn dc 
zoekalgoritmen, teiwijl Intel 
zijn 64-bits techiiiek in- 
bracht. 

De Accelerator bestaat dus 
LI it hardware en softwiuc. 
Typischc functics, die gespe- 



Gegemisbrainfn 


cialiseerde zoekmachines of 
oplossingen voor B1 cn data¬ 
warehousing al veel langcr 
bieden, worden nii ook ckwr 
SAP oiidersteiind. Daaronder 
valien intelligentc compres- 
siemechantsmen en opslag 
van indexen (OLAP-kubiis; 
bij SAP: Info Cubes}. 

Zoals de naam aangccfC 
moet je de B1 Accelerator in 
combiiiatie met de bekeride 
SAP-BI“Oplossing inzeUen. 
In bet geval dat veizoeken 
om infoniiatie noch direct, 
noeb via de OPAL-cachc uil- 
voerbaar zijn, springt de ver- 
sneller aan. SAP spreekt van 
een preslatieverbcLering met 
een factor 10 tot KK). Buiten 
de mogelijkheid tot het kun- 
nen verwerken van grotere 
hoeveelheden 
gegevens, zijn 
volgcns de Fa- 
brikant de nor¬ 
mal iter vereiste 
tuningwerk- 
zaamheden bij 
het vei-vaardi- 
gen van CLAP- 
kubussen niet 
1 anger noexiza- 
kelijk. 



Sinds midden februari kaii 


v an w w w, be I a st i n gd ie n st. n 1 
het nieuwc aangiftepro- 
gramom inkomsten be las¬ 
ting worden gedownload 
dal door burgers met een 
DigiD ondertekend kan 
worden. Tot op heden ge- 
bmikie men hiervoor de 
vijrcijferige pincodc van de 
Belastingdienst. Inmiddcls 
zouLien al meer dan 
430.000 burgers over een 
DigiD-inlogcodo bcsdiik- 
ken. 

ESET.de Amerikaanse 
oiitwikkclaar van NOD32 
Aniivirus, biedt een nieuwe 
versie van NOD32 Antivi¬ 
rus for Linux 
(www.nod32.nl) aan. De 
nieuwe versie is beschik¬ 
baar voor de Liniix-distri- 
buties RcdHat, Fedora, 
Mandrake, Suse en Debian. 
De nieuwe versie is voU 
gens Nienke Ryan,pro- 
ductmanager van NOD32 
Nederland, met name be- 


doeld voor ISP's en web- 
hosters. NOD32 voor 
Linux kan meerdeie bestan- 
den tegelykertijd scannen, 
waardoor de performance 
verbeterd zoii zijn. 

Samen met u-blox AG 
heeft halfgeleiderfabrikani 
Atmel naar eigen zeggen ‘s 
werelds kleinslc C PS- 
mod ule aangekondigd. Dc 
nieuwe single-chip 
A'rR0630 meet sJechts 7 x 
10 mm cn verbniikt sleohts 
62 mW, ideaai dus voor 
rnobiele telefixins en 
PDA’s. 

Door de eigen 
bedrijfsoplossingen le bun- 
del en met die van het over- 
gen ome n Te n ov i s w i 1 
Avaya haar positie binnen 
de Nederlandse zorgsector 
verder uitbouwen. Avaya 
biedt totaaloplossingen en 
modules voor bijvoorbccld 
verplecgoproep- en patien- 
lendnfolainmentsysiemen. 
In Duitsland heeft Avaya 
met SeCom en MedCom 
inmiddels al 27 procent van 
de zorgmnrkt in handen. 
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Hardware & Multimedia 


Duizend terabyte 

In de Symmctrix DMX-3 
van EMC kun je sinds koil 
maximaal 2400 harddisks 
inbouwcfi. Bovcndien [evert 
de fabrikant relatiei' gucde 
harddisks van 500 GB met 
fibrc-channclaansluiting. 

Met die harddisks bcrcikt 
de DMX-3 een totale capa- 
citeil van meer dan een 
petabyte (1 PB = 1024 TB), 
een capaciteii die tot nu toe 
hcl domein was van tape-li¬ 
braries. De nieuwe coiifigii- 
ratie zal vanaf maart 2006 
verkrijgbaar zijn. 

De voluniineuze FC- 
haaklisks wekken cnige ver- 
bazing, want tot nn toe heeft 
geen enkele fabrikant van 
harddisks FC-modcllcn met 
zo’n hoge capaciteit aange- 
kondigd, laat staan geleverd, 
Bij navraag decide BMC 



mee dat bet gaat om een 
model uil de N! J5-serie van 
Seagate. Het loopwerk 
(7200 rpm, 8 of 16 MB 
cache) is normal iter ver¬ 
krijgbaar met een SATA- 
aatisluiting, niaar de mecha- 
niseb identieke FC-varianL 
bliJft voorbehouden aan aan- 
bieders van storagesyste- 
men. 

Op de soelheid van de 
harddisks kan de interface 
ongeveer net zoveel invioed 


liebben als een achtei'spoiler 
op een Opel Mania* Dure 
FC- of SCSl-disks, die met 
10.000 of zelfs 15.000 om- 
wcnlclingcn per secondc ro- 
teren, lezen en .schrijven 
duideiyk sneller, Bovendien 
zijn ze slerker dan bun 
SATA-tegenhangers. Wic 
hoge eisen stelt aan snelheid 
en belrouwbaai’heid, moel 
de Symmetrix op zi jn minst 
ten dele opbouwen uit hoog- 
waardige htirddisks. 


Mobiele telefoon voor WLAN's 


Netwerkfabrikant Net- 
gear brengt in samenwer- 
king met VolP-spccialisl 
Skype cen mobiele telefoon 
met de naam WiFi-phone 
op de markt. Deze telefoon 
rnaakl via WLAN's ge- 
bruik van het iiirernettete- 
fonienetwerk van Skype. 
Bcide bedrijvcn hebben dit 
nieuws begin januari aan- 
gekondigd op de Consumer 
Electronics Show (CES) in 
Las Vegas. 

In tegenstelling tot veel 
andere Skype-VolP-tclc- 
foons kan hot nieiiwe mo- 
biekje helemaal zonder pc 
bet internet op. De gebrui- 
ker meldl zieh met naam en 


wachrwoord aan bij de 
Skype-server en ontvangc 
vervolgens automatisch 
zijn contactenlijst. Op het 
display herkent het mo- 
bieltje de onlinestatus van 
allc Skype-conlaclen cn 
kan dan via WLAN met 
hen conimuniceren. Aan- 
vullcndc bctaaldicnsten, 
zoals Skype-In* Skype-Oiit 
en oproepbeantwoorders, 
moclen eveneens met dc 
WLAN-telefoon functione- 
ren. De gegeveiisstroom 
kan volgcns Nclgcar ver- 
sleuteld worden met 40/64 
en 128 bit WEP, WPA, 
WPA-PSK of WPA2. Jn- 
formatie overde prijs en de 



beschikbaarheid komt 
waarschijnlijk pas beschik- 
baar na de CeBIT, die van 
9 tot 15 maart 2006 plaats- 
vindl in het Duitse Hanno¬ 
ver. 


wireless Extender 

Tornado, leverancier van 
cojnpLiterrandapparatuur, zal 
op de CeBIT haar eerste 
‘wireless over koper' op- 
lossing introduceren, de 
251 WirePlus. Dit is een 
wireless extender die het 
bereik van een draadloos 
signaal afkomstig van een 
8(12.11 access point op cen- 
voudige wijze kan vergro- 
ten door gebruik te maken 
van de aanwezige Iclefoon- 
lijnen. De WirePlus wordt 
in het dichtstbijzijnde teie- 
foonslopcontacl van een 
access point geplaatst en 
ontvangt het inkomeiide 
draadloze signaal. VervoL 
gens wordt hcl signaal 
omgezei en via de telefoon- 
lijnen naar €6u of meerdere 
te 1 cfoon s t( )pc( >n tac ten dix)r“ 
gezet waar ook een Torna¬ 
do 251 WirePlus op is 
geplaatst. 

In tegenstelling tot ande¬ 
re draadloze applicalies on- 
dervindt de 2.51 WirePlus 
dus geen hinder van overi- 
ge draadloze loepassingen 
als draadloze telcfoons of 
de aanwezigheid van betoii- 
nen muren, vloeren en me- 
talen voorwerpen, die nor- 
maal leiden tot een vermin- 
dering in het bereik. Bo- 
vcndieii maakl het signaal 
gebruik van een afwijkende 
frequentie die verschilt van 
het ADSL- en spraakge- 
deelte, waardoor de kwall- 
teit van de andere diensten 
op dezelfde lijn niel wordl 
beVnvloed. 


SSL>gateway cenlraal beheren 


F5 Networks, bekend van 
bun netwerkproducten, heeft 
een nieuwe versic van Fire- 
pass op dc marki gebraeht. 
Deze controller voor zoge- 
noemde SSL-VPN-kx:gang 
(Secure Sockets Layer Virtu¬ 
al Private Network) moet 
eeiivoudiger dan voorheen te 
integreren zijn in het BIG- 
IP-managementplatform van 


F5. Het bedrijf wil zijn klan- 
ten daarmee in staai slellen 
om dc bcvciligings- cn Loc- 
gangsinstcllingen voor ge- 
bruikers die via VPN-verbin- 
dingen, WLAN of LAN in 
bet bcdrijfsnetwerk werken 
eenduidig te maken en te 
bundelen. 

Volgcns F5 lijden remote- 
access-concepten in veel be- 



drijven te- 
genwoor- 
dig ondcr 
het fcil dat 
ze in bun 
ncLwcrkcn viX)r icdc- 
re gebniiker op te veel plaat- 
sen en voor te veel prodtic- 
ten beveiligiiigsrichtlijnen 
mtjctcn opzcttcn. Met Fire- 
pass kun je de toegangsricht- 


lijiien 

voor gebruikers en eindappa- 
raten daarentegen centraal 
definieren. 


IX imm 


















MARKT TRENDS 


DIversen 


mm A? 

NIISWS W 

Onder de naam Opera ff»r 
DevirevS wil de bn>w>ierleve- 
rancier utl Noorwegen Lmax- 
entcrtainmenlappiiraton gcrccd 
maken voor hel web. Hiervoor 
is een software developer kit 
beschikbaar voor diverse dis- 
tributies alsmede voor Troll- 
techs Qt en Utopia van dezelf- 
de leverancier (www.o|>era, 
CO m/proda cts/dev i ce s/tec h no- 
logy). 

Slcehts 2 millimeter dik cn 
10 gram zwaar is dc Data¬ 
card van Freecom (www. 
Ireecomxom). Op deze USB 
2.0- Stic k in credi tc ard Ibr- 
maat, met een tlashgeheugen 
van 256, 512, 1024 of 2048 
MB is bovendien verslente- 
lingssoftware voor Windows 
en Mac OS X geVFi.stalleerd, 


waarmee je opgeslagen gege- 
vens tegen iiieuwsgierige 
blikken kunt beschermen. De 
kaanen 7ijn verkrijgbaar 
vanaf 29 euro voor de 256 
MB-versie tot 179 euro voor 
1 GB. 

Philips vcrwacht dat de in 
Oostenrijk onlwikkelde Near 
V ie I d Commii n i cal i on-tcch- 
nologie voor contactloos be- 
taien binnen een jaar een 
brede acceptatie zal vinden. 
Tijden.s de 3GSM vakbeurs 
in Barcelona toonde bet 
samen met Samsung en Tele¬ 
fonica Moviles Espana 200 
tclctbons uitgemst met een 
NFC-chipj waarmee uiteen- 
lopende Iran sac ties konden 
worden vcrricht. NFC hceft 
wat weg van RFID, maar 
werkt in de 13,56 MHz-band. 
Proeven met NFC iopen mo- 
nienteel in P'rankrijk, Diiits- 
land, Taiwan en de VS. 


UltraSPARC T1 wordi open source 


Siins nieuwc UllraSPARC- 
processorTl (oak wel bekerid 
onder de codon aam ‘Niagimf) 
kail een interessante toekomst 
legemoet zien. Bi j de presenta- 
tie van de eerste server met 
deze processor, de Sun Fire 
T200ri, heeft Sun een nieuwe 


open sourccgemccnschap in 
hel Icven geroepen. 

In bet OpenSPARC-projcct, 
(www.opensparcMiel) zal Sun 
in hot eerste kwanaal van 2006 
het hele processorontwerp van 
de UltraSPARC T1 open- 
baar maken onder een officiele 


Google broidt aanbod appliances uit 


Met de twee onlangs gein- 
troduceerde modellen van de 
search appliance Google Mini 
conipleteett Google zijn aan¬ 
bod voor bcdrijven die binnen 
hun intranet (of hun eigen web¬ 
site) willcn kuniien zoeken. Tot 
nu loc hadden de Google-nnt- 
wikkelaars uit Califomie in hun 
portfolio slechts edn mini-appa- 
raat met zoeksoftware in bun 
□ssortiment,dat voor 2995 euro 
max i maal 100,0(M) docu menten 
kon indexereii, Voor 6000 en 
90(K) euro kunnen bedrijven no 
maximaal 200 .(kXl respectieve- 
Ujk 300.000 documenten 
indexeren (www.google-store 
xom/appi iance). Foutmeldin- 


gen cn andere berichten kun je 
via XSLT aan je eigen behoef- 
len aanpassen. 

l>e hardware van de mini- 
zoekmachine omvat een lU- 
server, die met een Intcl-ptx)- 
cessor en een nict nader 
aangeduide Idniix-dislributic 
werkt, met Apache als interiVice 
voor gebruikers en beheerder. 
Indcxcerbaar zijn ongeveer 200 
beslandslbnnatcn, waaronder 
PDF, Microsoft Office en 
Adobe Hlustrator. Ook de oor- 
spronkelijke Google Search 
Appliance, die 30.000 euro 
kost en geschikt is voor maxi¬ 
ma a I 500.000 docunienten, is 
nog steeds verkrijgbaai-. 



opcnsoLirccliceniic (vermoede- 
lijk CDDL of GPL). Daartoc 
bcliorcn dc spccincaties van 
de hardware, dc onderhavige 
broncode voor de hardwiu-e- 
be sc h i j v i ngs ta a I Veri log, een 
Verification Suite, siinulatie- 
modellen, de specificalie van 


de instruclieset (UltraSPARC 
Arcliitecturc 2005) cn een 
Solaris-intcrfacc, Ook IBM cn 
Free Sc ale zijn begonnen met 
licl langzamerhand vrijgeveri 
van hun FowerPC-processor- 
arcliitectuur via de web.site 
IK>wer.oig. 


Link-balancer voor internettoegang 


Zelflerende wachtwoordmanager 


Op de CeBIT (9-15 maarl, 
Hannover) zal Genua de link- 
balancer Genulink introduee- 
ren. Dit appajuat, dat ook in 19- 
inch forniaat verkrijgb^iar zal 
zijn, kan het internetverkeer 
over meerdere verbind ingen 
vcrdelcn. Zowcl iiitgaandc ver- 
bindingen als inkonicnd vcrkccr 
kunnen diiarmce gcricht over 
vcrschillcndc providers rcspec- 
liovelijk servers worden ver- 


deeld. Als van een bronadres 
binnen cen bepaald tijdsbcslek 
te veel incoiTiplete I'CP-aanvra- 
gen komen, kan Genulink dit 
adres automatisch blokkeren. 
Daarmee biedt liet apparaat ook 
besc he rm i n g tege n gerichte 
Denial of Service {DoS)-aan- 
vallcn. De prijs voor de eenvou- 
digste vcrsic is volgens Genua 
4500 euro. 




Vcrsic 2.2 van dc door 
Wibu-Sy stems (www.wibu. 

com) ontwikkelde CM Pass¬ 
word Manager kan onder Win¬ 
dows via meerdere browsers 
(TE, Firefox) wachtwoorden 
leren en bij toegang tot inter- 
netpagina's verschillende vel- 
den a u loin at i sc h he rke mien. 
Bij het bezoeken van een 
intemetpagina control cert de 
USB-stick of de toegangsge- 
gevens a I op dc stick zijn op¬ 
geslagen en wordt dat indicn 
nodig alsnog gedaan. De 
tool hceft een start- 
klare toegangs- 
beveiliging voor 
Windows, Linux 
en Mac OS X, 
waarbij het aantal 
functies van de 


laatstc twee beperkt is lot het 
gcncrcrcn van wachtwoorden 
en hel beheer daarvan. De 
wachtwoordmanager is een 
onderdeel van de bevciligings- 
hardware CodeMeter, waar- 
mee je licentiemanagement, 
tw^eevoudige autlienticatie en 
ook gegevensversleuteling kunt 
uitvoeren en waurnp ruimte is 
voor 2 GB aan gege- 
vens. 
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Internet Explorer 7: tweede befo-release 


IBM levert gratis versie DB2 


Na Micn>sort cn Oracle heeft nu ook 
IBM besloten om een gratis versie van 
de eigen database aan te bteden, DB2 
HxpresS"C. Hct aanlal gebruikers, de 
grotitte van de database en liet aantal 
serverinstanties per computer zijn oiibe- 
perkt. Wei werkl hcl pmgranuTia alleen 
op machines met maxiniaal 4 GB ge- 
heugen en twee epu’s* Vergeleken met 
de volledige versie ontbreken slechts 
professioncle functies zoais database 
partitioning, IIADR (High Availabili¬ 
ty/Disaster Recovery) en extra’s v{K)r 
datawarehousing. Migreren naar de voi- 
ledige versie zou probleemloos moelen 
verlopen* DB2 Express-C is Icvcrbaar in 
ecn 32- cn cen 64-bits variant vcK>r Win¬ 
dows en Linux (inclusief PowerPC). 



Microsoft heeft eind januari de twee¬ 
de b^taversie van Internet Explorer 7 
voor Windows XP uilgcbracht. Tot de 
langvcrwachtc cigenschappen van TE7 
behoren ‘tabbed browsing’ en de onder- 
steuning van RSS-feeds, 

fcicn van dc icukste nieuwtjes is Page 
Zoom. Daaimee kunnen bezoekers de 
inhoud van een website (dus nici hct 
vensier) naar believen vergn:)ten of ver- 
kleinen. Als je veel met tabbladen werkt 
zul je bovendien de uitbreiding Quick 
Tabs weten ic waarderen. Daarmee krijg 
jc in ecn tahblad aan de hand van mini- 
weergaven een overzicht van ailc 
geoiKiide tabbladen. 

Ook in bcveiligingsop/icht heeft ML 
emsoft aanzienlijke verbeteringen aan- 
gekondigd, die door de oniwikkclaars 
van 1E7 in ieder geval gedeeltelijk al 


Perforce Software heeft onlangs ver¬ 
sie 2005.2 van dit software-coiifigura- 
tion-nianagementsyslccm (SCM) geTn- 
tn)ducccrd. Tot de verbeteringen 
behoren exteme triggers voor authenti- 
catie, waamiec jc LDAP cn andere 
directory services in Perforce kunt inte- 
greren. Centrale richtlijnen voor het ge- 
bniikersbeheer mocten hct bcvciligings- 
niveau verhogen en het systeembeheer 
vergemakkelijken. Voor ontwikkelaars 
vajt objecigeorienteerde pnjgramma’s is 
voor/jcn in ondersteuning van Visual 


zijn doorgevoerd, Behaive het phishing- 
filter, dal online bij Micnisofi kan na- 
gaan of een site betrouwbaar is, kun je 
als websurfei* afzonderlijke add-ons via 
een menu {dc)aclivcrcn. Met dc sLcrvor- 
mige knop op de mcnubalk krijg je snel 
toegang tot je Favorieten en RSS-feeds. 
Verder kun jc dc Geschiedenis inclusicf 
ciHikics cn wachiwtK)rden met een klik 
wissen. 

De eersce pogingen met RSS-onder- 
slcuning stem men echter sceptisch. 
Weliswaar toont IE7 enkele feeds, 
zoals die van Slashdoi, op de verwach- 
le wijze, maar Micmsofl lijkt nict met 
allc RSS-versies rekening te liebben 
gehouden. 1E7 kent RSS 1,0 en 2.0; 
ouderc RSS-feeds leiden tot een foot- 
melding of een pagina met de bronco- 
de van de feed. 


Studio 2005 en voor gebroikers van 
Websphere Studio biedt de fabrikant een 
optie om offline te kunnen ontwikkelen. 

Via de website van Perforce 
(www.pcrforcc.cnm) kun je een gratis 
45-dagen geldige versie downloaden, in- 
clusief technische ondersteuning, Daar 
is ook cen gratis volledige versie voor 
twee gebruikers te vinden, De prijs voor 
een eindgebnhkerslicentie van Perforce 
2005.2 bcginl bij 8(R) dollar, mclusief 
onderhtmd en ondersteuning voor 
jaar. 


In januari liet het managemcnl van 
Oracle zien hoever het is gevorderd 
bij hei integreren van de diverse nieu- 
we sottwiirelijnen. Naast de eigen pro- 
gramma’s ging hct daurbij iyok om de 
ingekochte oploss ingen. 

Volgens Oracle-president Charles 
Riillips kan 80 proccnl van de gebrui- 
kers straks op Fusion Applications 
overstapj^en. Nog dit ja;ir moel hei be- 
nodigdc iuiidament, bestaande uit de 
Web Services Repository alsmede de 
procesmanager BPEL, solide zijn. 

Hct cmtwikkelteam van OpenArehL 
tectureWare heeft versie 4 van het 
opensouice framework voor modclgC' 
stuuide softwareontwikkeling 
(MDSD/MDA) voorgesteld, 

Verbeterd werd o.a, de iniegraiie in 
Eclipse. Programmeurs kunnen fouten 
hterdoor al in de IDE herkennen en 
niet zoals voorheen pas tijdens nm- 
dme. Via ecn W'oricflow-engine kan 
cen ontwikkelaar het generatieproces 
tot in detiiil aansiuren. Als altematief 
voor dc Object Constraini Language 
(OCL) is cen nieuwe tatil voor het be- 
schrijven van Constraints besclukbaar, 
OpeiiArchitecUireWarc maakl gebruik 
van het Eclipse Mtxleling Framework 
(RMF), waardoor het mogelijk is om 
hierop gebaseerde tools te benuUen, 
zoals het sinds kon beschikbare Grap¬ 
hical Modeling Framework (GMF)- 


Perforce inlroduceerl nieuwe versie van SCM 
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Lotusphere 2006: Nieuwe services integreren 

Lotus Google 

Michael P. Wagner 

Het integreren van services van Google en ondere online 
aanbieders in het produclenpalet van IBM v/as het grote 
nieuws waarmee manager Mike Rhodin de zesduizend 
deelnemers aan de Lotusphere 2006 afgelopen januari 
verraste. 


D e aanleidtng voor deze kJeine 
revolutie binnen IBM was ecn 
complete overhaul van Sameti- 
mc, een product voor synchrone coni- 
municatie via chat, audio, video cn 'ap¬ 
plication sharing’. Dit product werkte 
tot nil toe alleen onder 32-bits Win¬ 
dows, maar /^1 met versie 7,5 op Eclip¬ 
se-basis ook beschikbaar worden voor 
Mac en Linux. Tegelijkertijd heeft 
IBM voor (Jezc versie, waarvan do 
release voor medio 2006 wordt 
verwacht, het aaiital functies flink 
uitgebreid, Zo kun je vtx>r hel cerst 
client-side-toepassingen uitvoeren en 
uitbreidingen via plug-ins installeren. 

De servcrsitlc vcrhctcringcn in Sa- 
nietime gaan echter aanzienlijk verder. 
Door daarin bijvoorbeeld telefoniesoft¬ 
ware van I'abrikantcn als Siemens te in¬ 
tegreren, kun je via de telefoon een tot 
vijf extenie deelnemers in een online 
vergadering slepen, Omgekeerd kun je 
vanuit een Sametime-client via de 
functie Click to Call een telefonische 
vergadering in gang zelten. 

Met Sametime 7.5 kun jc via cen 
multiprotocol-gateway op de server 
ook verbinding niakcri met diverse aan- 
bieders van instant messaging services, 
waaronder naast AOL, Apple iChat, 
ICO en Yahoo Messenger ook Google 
Talk. De overeenkomsl met Google 

Derde dimensie voor Acrobat 

Adobe heeft zijn productportfolio 
uitgebreid met Acrobat 3D, Hicrmcc 
kun je 3D-gegevens uit bijvoorbeeld 
CAD-systemen in pdf^documenten 
opnemen, waarbij je dc bclichting en 
animaties nog kunt aanpassen. Verdcr 
kun je delen van een model dusdanig 
markcren dat tipdrachtgcvcrs bijvoor¬ 
beeld in staat zijn om zelf rccht- 
streeks correcties in het pdf-model 


bracht IBM op de ochtend van de eer- 
ste conrcrenlicdag lot stand, daardoor 
waren er nog geen details bekend over 
de afspraken. Overigens maakt Sameti¬ 
me voor zijn zogcnocmde 'location 
awareness’ al gebruik van de service 
Google Maps, waarmee deelnemers 
aan cen online bijeenkomst met het 
doorgeven van verblijfplaats ook geo- 
grafisch te iokaliseren zijn. 

Verheugende verbln- 
clingsmogeli|kheden 

Bovendien zorgt de integratie van 
een VoIP-interface op de client ervoor 
dat twee Sametime-deelncmers rccht- 
streeks met elkaar kunnen communice- 
ren, Daarbij wordt dezelfde ccxlec toe- 
gepast ais die van VolP-pionicr Sky pc. 
Dat Skype in de lijst van samenwer- 
kingspartiiers ontbreekt, komt volgens 
IBM omdal dc aandacht Ltrt nu toe al¬ 
leen gericht was op de integratie van 
telefonte voor grote bedrijven* 

Terwijl Nokia in het kader van Java- 
gebaseerde business center software 
zijn e-mail push- en PlM-functies 
inlroduceerde, toonde Reseai ch In Mo¬ 
tion, dc I'abrikant van de Blackberry, 
niet alleen de ondersteuning voor de in¬ 
stant-messagingserv ices van Sametime, 


aan te brengen. Voor de weergave 
kun je Acrobat Reader 7.07 inzetten* 
Acrobat 3D is vcrkrijgbaar voor 
Windows 2000 en XP. De Capture 
Utility voor het overnemen van 3D- 
gegevens is vcrkrijgbaar voor AIX, 
HPUX, Irix en Solaris. Acrobat 3D 
kosL 1160 euro. Als upgrade voor 
Acrobat 7.0 Prolbssional betaal je 639 
euro. 


maar ook hoe je databases van Notes 
draadloos kunt actualiseren, 

Na het beschikbaar stellen van 
Notes/Domino 7 kondigde IBM enkele 
verrassende nieuwigheden aan voor de 
opvolger daarvan, die al in juni vorig 
jaar werd aangekondigd onder de code- 
naam "HannoverL De nog zondcroffi- 
cieel versieiiummer geplandc release 
moetde standaard Notes-client verbin- 
den met de op Eclipse gebaseerdc 
Workplace-client en zal tevens de 
nieuwe Samclimc 7,5-clieiU hevatten. 

Met die combinatie kun je samenge- 
steide toepassingen, oftewel Composite 
Applications, maken door klassieke 
Notes-Uxipassingen te combineren met 
Eclipse-plugins die op Java gebaseerd 
zijn, ‘Hannover’ zal bovendien over 
een J2EE-container beschikken, waar¬ 
mee bet uitvoeren van Web Services 
for Remote Portlets (WSRP) mogebjk 
w{>rdt, Daaimcc wordt dc J2EE-contai¬ 
ner een complete portal op dc client. 



In jimuari liei het management van 
Oracle zien hoever het is gevordeid 
bij het integreren van de diverse 
nieuwe soltwarelijnen. Naasl de 
eigen programma's ging het daarbij 
ook om de ingekochte oplossingen 
van Relek, Peoplesoft, J.D. Edwards 
en SiebeL Volgens Oraclc-presideni 
Charles Phillips kan BO procenf van 
de gebruikers straks op Fusion Appli¬ 
cations overstappen. Nog dil jaar 
moet het benodigde fundament, be- 
staande uit de Web Services Reposi¬ 
tory alsmedc de procesmanager 
BPEL, solide zijn, Bovendien wor^ 
den nieuwe rapportagefujicties geVnt- 
roduceerd, die gebaseerd zijn op 
XML Publi,shcr van Oracle. 
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Ajax: de volgende generatie 
webapplicaties 

Twee heldeii 

W r 

Stefan Mintert, / . // - 

Pieter-Paul Spiertz ' *' / 

Al tien jaar wordt er ■ « / 

geroepen dot websites j *;-■ 
dynamischer moeten ^ i 

worden. Onder de naam , 

Ajax baart sinds een ’ j 1 

jaar een idee opzien, J i 

dot niet zoals DHTML en-*'** V \ 

Flash het uitertijl< van ’• 

websites verandert, maar * • 

I . . * -• *• 

de communicatie tussen , \ 

browser en webservers. * * 




T oen Netscape in 1995 versie 2*0 
van /ijn browser mei een script- 
taal uitrustte, dicnden dc cerstc 
voorbeeldprogramina's er al voor om 
HTML-rorniii!iereii le inaken* 

Zo’n formulier was in slaat om bepaal- 
de invoerfouten le herkennen, zoals 
letters in leleftK^nnuinmers of bet ont- 
breken van apeslaarljcs in matladres- 
sen. Daardoor kon de browser foute in- 
voQT zelf herkennen, zonder de inge- 
voerde gegevens cersl naar de server te 
hoeven stiiren. In 1995 was dat een be- 
langrijke preslatie: inlernelverbind in- 
gen gingen nog over dunne draadjes en 
slim me JavaScript-lrucs maakten web- 
surfen dus wezenlijk sneller* 

Bij de verwerking van dit JavaScript 
zit alle logica in de browser Dat gaal 
prijna* lenminste zolaiig er geen grote 
hoeveelheden data hoeven le worden 
verwerkl. Ter illusiralie bet volgende 
scenario; in een HTML-formulier mc.>et 
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een adres met straal, postcode en 
woonplaats worden ingevuld* Het is de 
bedoeling om te controleren of de in- 
voer gcldig is: de ingevulde postcode 
of straat moet zich natuurlijk wcl in de 
genoemde stad bevinden. 

Dc klassieke aanpak is om dit aan 
de server-kant te controleren, nadal de 
gebruiker de gegevens heeft verzon- 
den. Anders zou je de inlbrinaiie over 
alle straten in Nederland naar de brow¬ 
ser moeten stiiren, zodat die de contrcT- 
le kan diJciu Beide oplossingen zijn 
niet ideaal en juist hicr schiet Ajax le 
liulp* De Ajax-oplossing zou zijn dal 
dc browser de adresgegevens naar de 
.server stuurU zonder dal de pagina ver- 
anden of de gebruiker iets merkL Dc 
server controleert bet adres en stuurt 
een bench! met het re.su Uaal Icnig n£uir 
de browser. Die laat indien msdig dc 
foutmelding zien, dat het adres onbe- 
kend is. 


Ajax: asynchrone 
communicaHe 

Ajax is een afkorling van "Asyn- 
chnmous JavaScript And XML’’. De 
afkorting werd in februari 2005 geYn- 
troduceerd dcror Jesse James Ciarrett. 
Dc al'korting zelf betekent niets 
nieuws, maar dc combirialie van tech- 
nieken wel. Hoe dat asynchrone in zijn 
work gaal, is te zien in figimr I. De 
communicaiie tussen browser en ser¬ 
ver die de gebruiker waarnccml, word! 
vcRMjr/aakt door zijn eigen acties, bij- 
voorbeeki een klik op een link of het 
verzenden van een formulier (de zwar- 
te pijien op dc tijdstippen 1, 2 en 3), 
Tussen die tijdstippen is er iiormaat 
geen verkeer uissen browser en server. 
Bij Ajax is dat wel zo: hierbij kan 
javaScripl op de achtergrond een be- 
richt sturen (de rode pijien in het fi- 
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Figuur 1: TerwijI de gebruiker maar 
drie kaer iats doet wissalen browser 
en Webserver voortdurend informaKe 
u\h 


giiiir) en antwoordt de server met een 
XML'bericht, dat JavaScript als DOM- 
objecL in de huidige pagina zichtbaar 
kan maken. 

Tot zover de theorie. Als codevoor- 
beeld demonstreren we een kleine 
website [1], die is gebaseerd op een 
vrij verkrijgbaar, 380 kB groot over- 
zicht van XML-terminologie, de 
*'XML Acronym Demysliner" \2], 
Deze website, te zien in afbeelding 2, 
is te vergeUjken met Google Suggest: 
al lijdens bet inLypen van een zoek- 
woord warden een aantal matchende 
mogelijkheden onder het invoerveld 


Hier wordt het HTTP GET-request near d« uH ver- 
zonden. Let erop dot deze uri noor hetzelfde do^ 
mein moef wi|zen als dot waar de huidige HTML- 
pogrna vpn pRcomstig is (pEs de site geho^ is op 
het adres linkwerk.com, mog de urf dus niet wi]- 
zen noar stiekemkeyloggen.com], ondera krijg je 
een security-waanchuwing. 

De parameter true geeft apn dot de communico- 
tie asynchroon moat varlopan. Als je er false von 
zou mo ken, zou dot ertoe leidan dot het script 
zichzelf blokkeert vanaF het uitvoeren von de 
send(hrnethode tot het einde von de verfainding. 


getoond, zonder dat vooraf de hele lijst 
is gcdownload. 

Listing I laal bet stuk JavaScript zien 
dat het echte werk doet. Dit wordt 
aangcruepen dankzij twee event-hand¬ 
lers in de bijbehorendc HTML-code: 

<input onkeyup"''if (this.volie.length &gt; 1] 

[ loadAcroListhhi^.volgel;)" 
onblur-'^il |this.value.length &lt; 2| 

[ loadAcrolistIthis.valuel; Y type=‘'t®xtV> 

Eerst de handler: als er min- 

stens twee tekens zijn iiigevoerd, 
wordt bij elke toetsaanslag load Aero- 
[.ist aangeroepen. Deze tunctie 
downloadt de lijsi met aan de invoer 
matchende acroniemen van de server. 
Dc beperking op twee ingctyple te¬ 
kens is arbitrair en putir bedoeld om 
dc gebruiker een hoop onnodige data- 
ovcrdrachL Le besparen bij dc eerste 
toetsaanslag. 

De fmWwr-handier wordt aange- 


JJ-TRACT 

• Donkzi] Ajax kan de browser 
op de Qchtergrond asynchroon 
communiceren met de Webser¬ 
ver. 

m Esseniieel voor Ajax is de com- 
blnalie van JavaScript^ XML 
voor het uitwisselen van data 
en asynchrone communicaHe. 

• Ajax is vooral zinvol om sterk 
inferoctieve webapplicoties 
gebruikersvriendeiijker le 
maken. 


De reodyState-tae$tanden von een XMLHttpRe- 
quest-objeef zijn: 

0 nief gemittaliseerd 

1 gereed 

2 HTTP GET-bedcht verzonden 

3 irTterodief 

4 bericht voltedig binnengekomen 


Als de server met HTTP-statuscixle 200 
heeft geantwoord, moakt de funcKe showAcro- 
List() cfe ge laden acroniemen onderdeel van de 
zichtbore pogina, door het DOM bij te werken. 


Listlngi 1: XML-iicr«ni«ineii i«z«ti 

fiiiintop tsadllEfcLisUacrdl { 
if [itr(j 
i 


-t*# 


jliillii- 


;rEq U (rtq.reidirSUtt - 
rtit.redyState Ul f 
req.abcrtO; 

// als fer reqifESt jtbret? 

} 


) 









roepen zodra het veld zijn focus ver¬ 
iest. Ook als de gebruiker maar een 
taken heeft ingevoerd, wordt dan de 
lijst maLchende acroniemen gedown- 
load. 

Als de JavaScript“Code de asyn- 
chrone HTIT GET-request gedaan 
heeft, is het resultaat daarvan in ver- 
schillende properties beschikbaar 
voor het request-object. Details slaan 
o.a, op de MSDN-website, onder 
'HTTP-Reques!'. 

Als bet antwoordbericht van het 
mimelype ''text/xml" is voor/ien, is 
de body ervan in de propeny req.re- 
sponseXML te viiiden als DOM-ob- 


ir)i 


■mTFmTii-nn'.{™iw 


// bnl d( brouiEt liet miltlDleqm 
dijc 

req = citv JtNLIIttpgE(tu«stO; 

a hang ev^jit-handler aan objecl 
egq r e adv s t a t e eb a rtga = pro c esileqCh ing^ 

OrL true); 

FeqlHlmjmj 

] ei&e if fviiidiiiU.ll.ctiire34bjeetl f 

}{ ,..is bet dart in ktiuel geiipleienteerd 
fcq " nei kl i if elflbj act CHi cruse ft. 1 { SLUT- 



Eerst wordt de muiscursor m de wachttoestand 
gezet. Het is voorol zinvol om osynchrone com- 
municatie op deze manier zichtbaar te mo ken 
als de verbindmg noar de server traag is. Het 
wordt hierter demonstratie gebruikt. 


// hang evEuHa>dUr m ebjee* 

rtq.g^readystttfcbargp = pmessHeqC^nHgj I 


r«ii.aptivf"G£T'’^ upI^ triitl; 
rti^.sandO; 


LoadXMLDoc;(} is een algemene fundie om een 
XMUjestond op te halen, die het belongrijkste 
object XMLHftpReques! oonmoakt en een HTTP 
GET-request mackt noor de meegegevon urt. 


} 


fttivcrfun jfrucEssfiEqCbangcO { 

ff ab sutias fcoipbUi bereitt is^ is alU 
data b intitn 


If [rta.rtiJv^liU - 


// als da saner HITP-stituscude 

frLrti.siViiir== Mrr~ i 

// nkunE acronievEntlist tonan 
sbgiiAcfeListO; 

U uat iciisoirsDr ucar (lunial 
snCjrseH'aiitif'l; 
t rise t 

alertf'Feut bij coiBtiricfltie »ti de ser 
iier:tu“ ^ 

rEq.staiihsTen); 


We maken hier onderscheid tussen verschillen- 
de browsers. In de browsers Rrefox {vonat 1.0) 
en Safari is het XML Http Request-object stoo 
daqrd ingebouwd. In Internet Explorer (vanoF 
5.0) is AdiveX nodig. In IE7 werkt dit op dezelf- 
de wijze als in Rrefox en Safari. 


Dankzij de asynchrone verbinding fdopt bet 
script verder terwiji er een HTTP GET verzonden 
is. Maar als na een tijdje het ontwoord binnen- 
komtji moet dit ergens worden verwerkt. Doarom 
definreren we in req"s property processReq- 
Change een callback-hmclie die wordt aqnge- 
roepen als de readyState van req is veranderd. 
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Listing 2: parallelle recfuesls 

II definHie m cillb^d-fuDEtief 
Nnctian callbaEk^f) { 
i1 (rt4iiie£tltbjectL:rtadyStat& ~ { 

} 

) 

fitDCtiEin fallbaEkBO ( 
if (rcqws t Object a. rtsdy Staff - 4) ( 

} '' 

) 

fi reqtiflst-fbjKtin creirm 
FeqiiEst&bjcctA = nei KlllflttpREiniEStt}; 
requEstOblectB ^ n&v XNLIIttpllequestO; 

H (vent-lartdl&fs 

requei i Db } fctA. qj\ r nAfi t a te e ka np = c a IL ba d i; 
request^blEEtG^onreatljrsiatecbar^P = callbatbB; 


ject. De body kan op de bekende, niet 
Ajax-specifieke nianier in de besta^in- 
de websile wordcn gehangcn, en dil 
wordt daarom ntel verder toegelichL 
De volledige broncode van listing 1 
staai op hei internet. 

Aan het programmeren van het 
DOM ontbreekt nu alleen nog de ma- 
nier waarop we in JavaScript de ge- 
downloade acroniemen aanspreken. 
Deze zijn namelijk in de XML-gege- 
vens ingebed in elementen van het 
type <Acronym>...</Acronym>. Alle 
Acronym-elemenien, die het asyn- 
chi one request heeft opgeleverd, zijn 
als volgi toegankelijk: 

req.responseXML. 

ge{Elejinenls6yTagNaine(*Acronym''| 

De melhodc }fetElementsByTctgNa- 
me() is in het W3C-objectmodeI ge- 
definieerd* De techniek vereist geen 
asynchroniteit, JavaScript of XML. 
De consequentie van synchrone com- 
municatie is wel daC het programina 
blokkeert. De MicrosofL-documenta- 
tie laat naast JScript-codefragmenten 
om XMLHttp-objecten te gebruiken 
ook aiidere taleri /Jen, zoals C\ En in 
het geval dat er geen XML-bericht 
verstiiurd wordt, maar "lext/html" of 
"texl/plain", dan is de response-body 


als tekenreeks in een property van het 
object tcrug te vinden. In de volgcnde 
iX zullen we laten zien hoe je JSON 
gebruikt in plaats van XML. 

Omdal Ajax asynchroon wcrkl, is 
het perfect mogelijk om para! lei 
meerdere HTTP-requests te verzen- 
den. De JavaScripi-loepassing loopl 
na het verzenden gewoon door, en 
pas bij het binnenkomen van het 
IITTP-antwoord wordt de melhode 
omeadysTatechange van het bijbchi)- 
rende object aangeroepen. 

Parallel requests maken 

Om meerdere requests parallel te 
versturen, moet voor elke request een 
eigen callback-methode gedefinieerd 
worden. Vervolgens wordt die aan 
het betreffende object toegewezen. 
Schematisch ziet dat emit zeals in Us- 
ting 2. 

De op deze manier geinitialiseerde 
objecien kunnen op een willekeuiig 
moment een verbinding openen en 
een request verzenden, Je moet er bij 
het schrijven van de callbacks natuur- 
lijk rekening mee houden dat ze geen 
concurrerende opdrachten bevatten, 
anders krijg je race conditlon-foimn. 

In het geval van XML-acroniemen 
kan het toch tot conlJicten komcn. 
Dat kan doordat omdat het script 
maar een enkeJ request-object ge- 
hruiki, Omdat er voor het versturen 
van een bericht maar op een toets ge- 
drukt hoeft te worden, moet het pro- 
gramma met de siiuatie omgaan dat 
er weer een request gestuurd moet 
worden nog voordat het aiitwoord op 
de vortge is verwerkl. Ook dil ge- 
beurt in de functie foadAcroLisf(): 

if (req && [req-readyState == 2 
I I req.reodySfate == 3]| ( 
req.abort|]; // oh een request loopt, afbreken 

! 

De //'-opdracht controleert, of het re¬ 
quest-object bestaal en of het zich in 


toestand 2 (verzonden) of 3 (interac- 
tief) hevindt. In dat geval breekt de 
aiJt>r;(j-methode het request af, nog 
voordat het volgende request verzon- 
den wordt, 

Het is nodig om 6en of meerdere 
giobaie objecten te gebruiken, zodal de 
functie processReqChange van dat ob¬ 
ject kan worden aangeroepen. Wie het 
op eeo elegantere wijze zonder globaic 
objecten wil docn, vindl op de IBM- 
silc een mooie oplossing, De auteur 
maakt daar uit het request-object en de 
gewensle functie een nieuwe evenl- 
handler-functie, waai’ het request-ob¬ 
ject ingekapseld is (zie het artikeJ van 
Philip McCarthy in de online-resour¬ 
ces) 

Zoals bij alle recente browsertech- 
nieken is hei dc vraag in hoeverre 
browsers het al ondersteunen. De tech- 
niek zelf is weliswaar oiet nieuw, maar 
de Ajax-hype wek De aciuele versies 
van InlemeL Explorer, Fire fox, Mozib 
la. Safari en Konqueror bieden in elk 
geval ondersteuning voor het XML- 
Htip-object, hoewel er verschiikn zijn 
in de implementatie, Een lest van de 
acroniemensite met de browser Opera 
8,5 gaat bijvoorbceld mis. De betaver- 
sie van Opera 9 doet het wel. 

Belangrijk is dai requests aan ande- 
re servers dan de server waar het script 
van draaiu niet zomaar werken. Als je 
niet Wil tonien aan de veiligheidsin- 
stellingen van de browser, kan dit wor¬ 
den t>m/eild door het signeren van het 
script. 

In het voorbeeid hebben we laten 
zicn hoe je cen XMLHtLpObJecl een- 
voLidig kimt gebruiken. Maar bij grote- 
re toepassingen wordt het complexer. 
Hoe annuleer je een request? Werkt 
het wel in alle browsers? Gelukkig be- 
staaii er tientallen zogenaamde fra¬ 
meworks die over cen groot aantal 
Ajax-basi.sfuncties beschikken. Op dc 
site ajaxpatterns.org staat een ffinke 
hjsL, waarin onderscheid geniaakt 
wordt tussen JavaScript-frame works 
voor de browser en seiverside-frame¬ 
works voor de Webserver, 


ONLINE 

BRONNEN 

A Backbase Ajox Fronl-end for J2EE Applicatfons 

dev2cfov.bea,com/pub/a/2005/0B/backhQs&_o]ax.hlFr( 

Phtiip McCarthy: Ajox for Java developers 

WWW' 1 28,ibm.com/developerworks/iibrory/j-Qjoxl/?co=dgr' 

InxwOl Ajax 


Ajax M[stokes 

hltp://swFk.net/Ajax/Ajox + Misfakes 

MozJlIo XML-Exiros^module 

www.mo2illa,org/xm!extrQs/ 

Dynamic HTML and ?(ML: The XMLHttpRequesf Object 

dev el oper,a ppie.co m/j FI tern et/webconfent/x ml bttpfeq.html 


20 


iX iriim 
















Single-page versus 
multi-page 

Veel webappiicaties die door Goog¬ 
le gemaakl /ijn (GMail, Google Maps 
en Googie Reader), maar ook bijvoor- 
beeld Microsofts start.com zijn in feite 
een hele grote pagina, Hel voordeel 
daarvan is dat de ge-bmiker de site als 
sneller ervaait: na een klik is vrijwel 
direct resullaai zichtbaar. Ook is bij 
opkomende venstertjes het gebruik van 
fade-effecteii mogelijk, waardoor het 
Hjkt alsof de gebmiker korter op de 
website hoeft te wachten. 

Maar een single-page aanpak heeft 
ook nadelen. Het laden van de pagina 
vooraf duurt vaak veel langer. Als dc 
site eenmaal geladen is, kunnen te 
grote Ajax-downloads de normale na- 
vigatie in de weg zitten. Verder zijn de 
Vorige- en Volgende-knoppen niei 
rneer te gebmiken ais een pagina zich- 
zelF aanpast met behulp van Ajax zon- 
der een nieuw adres op te rocpcn. Ook 
het niaken van bookmarks werkt in dat 
geval niet. Sominige frame-works 
zeals Dojo bebben hieraan 
gedacht: de ontwikkelaar kan ook 
JavaScript-fiincties in de website zet- 
ten die worden aangeroepen als 
de Vorige- of Volgende-knop wordt 
ingedrukl. Het bookmark-probleem is 
wat lastigcr. Het kan worden omzeild 
met speciaie „Link to this page‘*-links 
(zoals Google Maps doet) of door toch 
de pagina geheel te verversen (zoals 
zoekmachine A9,com doet). Er bestaan 
ook fraaie hacks die het oplossen [3]. 
Maar de browserhistorie klopt dan nog 
altijd niet, en daar is geen oplossing 
voor* Ook zoekmachine-spiders heb- 


fiapi: //ww^-hnkw^rk.comj' 

Amaion Nmoiwi 

Sure ■ Hem ' TPM r MunEton - Schulutif ' Ytvt b Oocto ^ 


XML Acronym Demystifier & Ajax 

Oiei 151 eine Betepieram^jendune det 

Bine geben Sle eln Akronym odor deti Anfeng erner Akronymi 


ElOSChrddkefi agr Akronyme vop folseodon 0r|Bn1sat:1ione'n: 

Sun 
^ tBM 

Internet EnglJneerjnB Task Fomce |IE7F) 

: World Wtdp Web Cansortium (WMl) 

OTBariizst lon for ihc Aitvancement of Stmciured inronmatk 
/ Mlodsoft 
: tSC 
^ AKe 


Akrooym 


Hler erscbeinen die fnformaiionefi uuer ds 


hen grote moeite met het iiidexeren 
van single-page webpagina's. 

Het is dus verstandig oni Ajax be- 
perkt le in te zeiien. Voor ontwikke- 
laars is de lypische vuistregcl om Ajax 
le gebmiken op het moment dat de ge- 
bruiker een kleine hoeveelheid data 
naar de server stnurt, waarna de pagina 
ververst wordt. Tot slot moet worden 
opgemerkt dat niet aUe gebmikei's Ja¬ 
vaScript hebben aanstaan, Een goede 
ontwikkelaar zorgt ervoor dat ook in 
dal geval de site blijft werken. 

Ajax mag dan dc belangrijkste nieu- 
we techniek zijn om sites interactiever 
te maken, maar liet idee doorbreeki 
wel hel verwachtingspalroon van ge- 
bruikers. Als een klant in een webwin- 
kel bijvoorbeeld een creditcardnummer 
iniypl, kan dat al verzonden zijn naar 
de winkel nog voordat de klant de 
order definitief geplaatst heeft, Als vei- 
ligheidsmaalregel kunnen webpagina’s 
standaard alleen XMLHttpRequesl-be- 
richten stureii naar hun eigen Webser¬ 
ver, 

Conclusie 

Nieuw aan Ajax is niet de tech¬ 
niek. JavaSciipU XML en het Docu¬ 
ment Object Model zijn er al jaren; 
het XMEHttpRequest-object dateert 
zeifs al van 1998. Nieuw is wel, naast 
de naam Ajax, het gebruik van al 
deze dingen samen. Hue mecr ont- 
wikkelaars begrijpen dat de commu- 
nieatie Lussen browser en server niet 
tot acties van de gebmiker beperkl 
zijn, hoe comfortabeler de iiteuwe 
webappiicaties zullen worden* Deze 
paradigmawissel zal ervoor zorgen 


Lfsting 3 : getentry.php (doel] 


U instaU ptipWoiiil or uu pod fiir pfapS 
fl III ook fanp://init.ivini.op|/^dnPatltTiit{irial/ 

tdoc = dHTHljponJileCxiUd.xil ) 

Setx * Sdi>c->'iipalMf'r_f>nnn[); 

too-dos - ictii'>ipitli_&vaUV/Eiitfy[Jlcfon]ri[starts- 

uith(,,)aEroI]r}; 


dat websites zich steeds minder on- 
derscheiden van normals program- 
ma’s. Hiervoor onLsLaan moinenteel 
bibliotheken met ‘Ajax-widgets\ die 
de onlwikkeling van comfortabele 
‘web user interfaces’ ondersteunen. 

Literoluur 

fl] Voorbeeldcode: 

WWW, 1 inkwerk.com/pii b/xml/x m lad/ 
ajax/ 

[21 XML Acronyms, http://xml- 
acro n y m -d emy$t if ie r. org/x m I ad. x m I 
[3] hUp://ajaxpaUerns,org/Uniqiie_ 
URLs 
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De fop 1 O 
Ajax-blwnders 

1 Ajax gebruiken als het rviks toe- 
voegJ 

2 Websites slechts in een browser 
testen 

3 Non-intultieve user interfoces ver- 
ZTnfien of de Bock button vergeten 

4 Te grote ©n langzame JavoScripts 
schrijven i.p.v. CSS slim gebruiken 

5 Normal© GET/POST-requests weg- 
loten zonder ollernoHeF voor 
mensen met een oudere browser 

6 Geen moge[i|kheid loten tot dee- 
plinks voor bookmarks 

7 HTTP in plaats van HTTPS bij verstit- 
ren persoonsgegevens 

8 Teveel informotSe opvrogen via 
XMLHttpRequestSj waardoor een 
pagina blijft 'hangen* 

9 Weinig aondacht oan foutafhande- 
ling besteden 

1 0 Nief testen op concurrency 
(somengebruikl 
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E4X: EcmaScript/JavaScript voor XML 

Hallo, data 

Stefan Mintert 


J e komt tegenwoordig om in de 
API’s voor XML. De bekendste 
zijn SAX (Simple API for XML, 
event-based) en DOM (Document 
Object Model, tree-based). Het werk 
aan die laatstc begon al in 1995, het 
Jaar dal Netscape JavaScript in zijn 
Navigator inbouwde. Deslijds was 
dat objeclmodel het eerste dat 
clemcnten van een HTML-pagina in 
hierarchische objecten lecsbaar en 
gedeeltelijk schrijlliaar maakte voor 
een scripllaal. In de tussentijd is er 
veel gebeurd, De W3C heeft het 
DOM gestandaardiseerd en nieuwere 
browsers zijn die standaard mettertijd 
goed gaan ondersteunen. DOM-scrip- 
ting in JavaScript is geen bijzonder- 
heid meer anno 2006. En ook 
JavaScript is gestandaardiseerd; de 
'ofTiciele' versie hcct icgenwoordig 
EcmaScripL 

Buiten de browser hebben SAX en 
DOM al lang concurrentie. Er bestaan 
allerlei alternalicvcn in de Java- en 
.NET-wereld, zoals pul I-API’s. Deze 
alternatieven p robe re n s tee vast hcl 
ene of het andere nadeel van SAX of 
DOM te verbeteren. 

Sinds Juni 2004 zijn EcmaScript 
(versie 3) en JavaScript (versie 1.6) 
uitgebreid met een eigen interface 
voor XML-gegevens- Deze heet 
"EcmaScript for XML’’ {E4X) en 
deze werd al in juni 2002 geintrodu- 
ceerd door BEA Systems, met mede- 
werking van bedrijven als Netscape, 
Mozilla, Macromedia en Microsoft. 
Je zou de vraag kunnen stellen waar- 
om er ondanks alle al beschikbare 
API’s wear iets nieuws mocst komen. 
Het heeft dii kcer niet te maken met 
performance of geheugengebruik. Bij 
E4X gaat hel om dc stijl. Om Bren¬ 
dan Eich Ic citeren, de boofdarchitect 
bij Mozilla en de *yader’ van Java¬ 
Script: ’’Hacking XML via XSLT or 
the DOM is not ’scripty’." Dus scrip- 
ty meet hel wordeii, bet veranderen 
van XML in JavaScript. Tot nu toe 
was DOM-scripting inderdaad nogal 
omslachtig. E4X gaat dit verbeteren- 


Door de opmors von webbrowsers en DHTML-scripting 
hoort EcmaScript tot de meest gebruikte scripttalen. 
medio 2004 bestaar er een toolversie van ECMA die 
eigen mogelijkheden heeft voor het verwerken van XML 
De eerste implementoties, waoronder Firefox 1.5, zijn 
bovendien ook beschikbaar. 


Boekbestelling: XML- 
scripting met E4X 

Als datavoorbeeld nemen we een 
boekbestelling in XML (zie listing 1). 
E4X voert iwcc nieuwc datatypen in, 
het XML-obJect en XMLList (een 
lijst van XML-objecten). Uh de 
boekbestelling crecert dc constructor 
XM!4} een XML-object: 


22 


(X 2/2006 










Jl-TRACT 

• "EcmaScripf For XML" 
(E4X) definieerf voor 
Ecma- en JavaScript een 
eigen interface om met 
XML te werken, 

• E4X heeft een kortere pro- 
grammeerstijl dan DOM- 
scripting. 

• De eerste implementaties 
van E4X zijn er, maar 


var bestelling = new XML("<Besre!ling 

</BestettEng >"); 

Het object bestelling is van^if nn vrij 
intiiVtief te raadplegen. De bezorgplaats 
van de bestelling laal zich bijvoorbeeld 
als volgt achterhalen: 

var bezorgPlaots = 

bestelling, Bezergodres. Woo np loots; 

Houd er rekening niee dat Bestelling 
overeenkomt met hei root-element, Alle 
onderliggende elementen zijn als vclden 
van het object te benaderen, BiJ bezorg- 
Flaals gaat het opnieuw om een XML- 
object. In een string-conlexl levert het 
object, dat uitsluitend tekst bevat.. precies 
die tekst lerug, Je zou het expliciet kun- 
nen maken door hezorgFlaatsIoStrmg() 
te schrijven. In dit voorbeeld hcell dat 
als waarde ’’Continuum". Als je bij de 
bezorgplaats de passende naam wilt op- 
zoeken, krijg je hel antwt)t>rd met 
zorgPlmts parenti}I^aam of bezorg- 


Flaats.parent(} 

J^faainJoStringO. Als er meerdere ge- 
lijknamige kindclemcnten zijn, is hel re- 
sultaat van beide expressies een object 
van het type XMLUst, hier bijvoorbeeld 
bestelling.Koopwaar^oek, Deze lijst 
kan worden doorlopen met een index, 
zoals aliijd beginnend bij 0. De kosten 
voor het tweede boek bereken je dus zo: 

bestel[ing,Koopwoor,8oek[l l.Aonfci! * 
bestellmg.Koopwoar.Boek[ 1 f PnjsEUR 

Zoals in EcmaScript gebruikeiijk is, 
vindt er voor het gebruik van de "^-opera¬ 
tor een impliciete typeconversie in een 
getal plants. De uitkomst is hier 31, Vmr 
het totaaibedrag van de rekening is iets 
nicer werk nodig: 

var sont = 0; 

for (vor i = 0; i < beste!lEng.KoopwQQr.BoekJengim;\ 
N+l)f 

som - SOFT + besidling,Koopwaor Boek[[].Aonrd 
* bedellmg.KoopwaQr.Boek[i].PrEjsEUR; 

} 

Wie al eens EcmaScript geprograni’ 
meerd heeft, zou het aantal boeken ver- 
moedelijk graag als bestellmg.Koop 
waar£oekIength opschrijven. Dat werkt 
niet, omdat het zou kunnen dat het ele¬ 
ment Boek een kindciement length bezil. 
Vandaar het gebruik van de methodc 
iengthO, 

Velden lezen 

B4X 70U niet ‘seripty’ zijn, als er 
geen afkortingen waren voor de loe- 
gang Lot ondergeschikte elementen. 
Om de namen te vinden van alle per- 


sonen die in hcl XML-besiand te vin¬ 
den zijn, kun je alle elementen selec- 
teren met bestelling. J^aam, en ga je 
ze zo langs: 

for (vor n tn besten[ng..Noaml [ 
pnnilbest0lling..NoQrnEn]); 

1 

De schrijfwijze lijkt op de expres- 
sie in XPalh,die dczclfdc beteke- 
nis heeft. De ontwerpers van E4X 
wilden aansluiten bij XPaih, XSLT en 
XML Query,zonder het wiel opnieuw 
□it te vinden. [n XPath kun je ook met 
zogenaamde predicaten de selectie 
van XML-clemcnien of XPath-nodes 
beperken. Wat in XPath lussen hoek- 
haken geschreven wordt, staat in E4X 
lussen ronde haken. De uitdrukking 

besrd!ing..Boek.(@lSBN=-''9076] 74063") 

levert hel tweede boek ult de bestelling 
op. De slring-representatie van het ob¬ 
ject heeft de vertrouwde XML-vorm: 

<6oel( ISflN='9076174083'> 

<TiJel>Horry Potrer en de Sleen der Wij 
zen</TEfei> 

<Aonfal>1</AontQl> 
<PrijsEUR>15,50</PrijsEUR> 
<Bezorgdalum>2006-03-01 VBezorgda 

^ijm> 

</Boek> 

Maar het filter levert een echt XML- 
object terug, je kunt er bijvoorbeeld 
elementen van opvragcn: 

besre!IEng..&oek.(@lSBN==‘'9076174083"].Tilel 

Behai VC dc filtcrpredicaten demon- 
streert het codefragment ook de toe- 
gang tot attributen. Net zoals XPath 
gebruikl ook E4X het @-teken voor 
attributen. Dat werkt hetzelfcie, behal- 
ve bij predicaten: bestelling .Boek, 
@tSBN is een XMLLLst van de ISBN- 
attributen van alle boeken uit de be¬ 
stelling. 

Hel is nu eenvoudig om met het 
XML-object te werken. De in elkaar 
geschoven elementen van een XML- 
document worden op een object- 
hierarch ie afgebeeld, waarop de korte 
notatie te gebruiken is. Daamaast is er 
ook iets nieuws: E4X biedt een ogen- 
schijnlijk verrassende notatie voor het 
maken van XML-objecten. 

var parQ=<p>Eerv beelje <em>gemengde</em>\ 
conlenfl</p>; 
for \\ in paro.children]]) ( 
print(para.chiidrert(|[i]/ 
llypi ^paraxhildrenlllil.nodeKindO/l"]; 

} 

De eerste regel laal zien, dat XML- 




in eI iftfs 1 fid-1,0* t deniii S(j-fil59-l * 

<!- IML kiieua Part il, aidgapast 

<Bei&fafldres ni»d^"llL"> 

(SmitJ^Hagratliemraa 
<Pout(nle>1ZJ4 AB</Posttodf> 

<10011 |>l a ts>CDr 1 1 rvui< / Hoo np I aa t 
</&tiiirpdres> 

<fattiiuradres lan(l=''KL’> 

<ll33i>irTiJgEt Jon(&</Jl33i> 

<Pfl5tcodE>2545 BCCPosttode^ 
iM up 1 IS t s >lii miHm^ i ai t 
<aattitiiridret> 

<looi)ifiar> 

Citat>Ifln en de kmi van k\ B0tDr{!iidfrli5iid</TjUt> 
<Pri]sEtlll>9,0§</Pfi]seiHl> 

cCDiain1:aar>liraa.g nH cadeiuverp3li.tiiif</Coaiiivtiir> 
</SoO> 

<0oet ISe^‘'907d174(ra3> 

(fiUUHarrjf Put Ur (u dc SUen dfr lfijifcii</fUEU 

cAa(im>2</Aafltat3 

<Pri)sElfBJt5,51)</Prijs£E)ii> 

<Be rgiiat < / Bfjo r gd b tiii> 

</OupiiiBr> 

</SesteUkg> 
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2i lnd«xiiuntm*rs toewil- 


tif US; 

fflr mi (»ir buck U bmflliftg.-fiMlt) I 
betk.aUdaIr - Hi; 


<B«{k IS9l: ?D4614(I2S] lRd»lr-n''> 
..JindiUAinten,.. 

<tMi> 

ISBS- WhUmi in(lnlr‘‘2''> 
</K09pvtsr> 


code direct in het EcmaScript-pro- 
gramma mag staan* Het resuliaai is 
identiek aan 

var para=r»ew XML|'<p>Een beetje 
<em>gemengde</em> conientl</p>''); 

Dcfor-inAus leveit nu het volgende: 

Een beeJfe(iype: iexM 
gemengdejlype: elemenl) 
contend {type: iexi ) 

Het was le verwachten, maar toch is 
het bijzonder dat de volgorde van de 
kindereii in mixed content behouden 
blijfl. Dat is voor XML-naar-OO-map¬ 
pings nict vanzelfsprekend, maar btj 
mixed content essentieeL 


Manipulatie van XML- 
objecten 

Met E4X kim je ook XML-objecien 
veranderen. Stel dal je aan elk boek uil 
de bockbcstclling een uniek indexnum- 
mer wilt geven, dan kan dat met de code 
□it listing 2, die het nummer als allribuul 
toevoegl. De bestelling ziet er daama uit 
/oals daaronder vermeld* 

Konif er een boek bij, dan is een legel 
voldocndc, zoals in listing 3 te zien is* 
Nieuwe XML-objecten, in dit geval kin- 
deren van het element Koopwaar, laten 
zich namelijk eenvoudig als elementen 
tocvoegen* Listing 3 vylt de aan de lin- 


LlAtlnfi 3t Bo*|c 

butnUssJo^piair.lan ]m-\ 

1 nnbttfO I ideilr=(but c L L1 ng* Joek. \ 


<8vek ISBN= m\mi iftdulr= 1 > 

., > fe 1 nit E eiei) t in rr- 

<Ss(k ISB1I= MlliOSJ 2 * 

iiM> 

^e«(k tseil= IndEitlr^ 3 > 

</Keepv8»f> 


kerkant aangegeven XMLUst bestei- 
Hng.Koopwaar£oek aan met het nieuw 
XMLHibjecl aan de rechteikant* Daarbij 
bevindt zich in de statische expiessie 
een nieuwe, met accolades gemarkeerde 
evaluatiecontext, waarin de berekening 
van het oplopende indexnumnier ge- 
schiedt. Deze evaluatiecontext is een 
equivalent van XQuery, waar dynu’ 
misch te bemkenen uitdrukkingen in een 
statische context ook tussen accolades 
staan* 

Het loevtxjgen van XML~objecten 
aan XMLdijsten kan al bij de initialisa- 
tie gebeuren met een korle schrijfwijze, 
zoals de volgende ctxle uit de ECMA- 
standaard demonstreert: 

vor employeedoto = <nome>Fred</fiQme> 

+ <oge> 28 </ag 0 > + <hobby>skHrtg</hobby>; 

De in bedding van deze XMLList in een 
mol-elcmcnt is al net zo simpel: 

vor employee * <©mployee>[employeedoto}</em- 
ployee>; 

Als liet aanvullen van XML-elemeiiten 
mogelijk is, moet het verwijdemn ervan 
tx)k kunnen. Daarvoor bestaat de delete- 
operator (zie listing 4). 

Aansluitend nioet worden vermeld 
dal E4X tx)k namespaces ondersteunt, 
zoals dit voorbecld laat zien: 

vor employee = <e:employee xmlni:e='htfp:// 
WWW, example, co m/n omespo ce/e tn pi oy ee '> 
<e:Etome>\ 

Fred</e;nome><e:oge>2 8</e:oge><e:hobby>\ 
sltiing</e:hobbyx/e:einployee^; 

vor mp ® fjew 

Nome spo ce(' http ://ww w. e xo mple. com/ 
Nomespace/ employee'l; 
p fin I (em p toy e e .em p: ; no m e 1; 

De eenvoud, het uilgangspunt vtxjr 
E4X, ziet de JavaScript-pnogrammeur 
dus echt tenjg* Een codevoorfoeeld van 
Brendan Etch laat zien dat met cen paar 
EcmaScripl-rcgels cen heel XML-docu¬ 
ment ontstaat (zie listing 5; boven code, 
onder XML)* Hier vail op dal head en 
body nict cxpliciel als kinderen van himl 
geconstrueerd worden* 

E4X*gebruik met Ajax 

Tot zover de Iheorie. Nu de vraag 
hoe E4X in dc praktijk gebruikt gaat 
worden* De listings hierv66r gaan uil 
van conslantc data* Wanneer beb je 
daar wat aan? Veel spannender is 
waarvoor E4X in de browser te gebrui- 
ken is. Twee scenario’s dringen zich 
op: ten eerste voor de scripting van een 
HTML-pagina, waarin E4X ingezel 


LltHitB 4t ••s^rgdatvm verwl|ii«- 
ran 

d«letf h«ntmiv^*BD£k.ms&i==-90m?mri.aeurt 
itUt; 


<B«i! isBi='*»07nnQi3"> 

<Tit(L>aifr^ hiKtr m di def 

</Bam 


wondt als altematicf voor DOM, en ten 
tweede voor het laden van XML-data 
uit een website. Daar is een populaire 
naam vcxir: Ajax. Het artikel op pagina 
18 gaat daarover* De in Ajax-slijl ge- 
downloade XML-dala worden norma^ 
liter als DOM-object verwerkt, maar je 
kunt natuurlijk net zo goed een XML- 
object maken met E4X* 

[mplcmcntaiics van E4X bestaan 
onder andere in Macromedia’s Action- 
Script 3 en de browser Firefox 1 *5. We 
zullcn hicr ingaan op Firefox* Om 
te voorkomen dat XML-inlme- 
commentaren en CDATA-secties 
(<!fCDATAl**,)]» in JavaScript voor 
HTML-commentaar worden aange- 
zien, hebben de Firefox-ontwikkelaars 
een mimelype-optic ingebouwd, waar- 
mee scriptprogrammeui-s de E4X- 
features uitdrukkelijk moeicn active- 
ren. Dat ziet er in HTML als volgt uit: 

<iCfipr lype=*fexl/iovQicript; eij(=K>**. 
</scfrpf> 

De volgende regels laten zien, hoe 
je XML-data in Ajax-stijl in een E4X- 
XML-object downloadl: 

// Nieuw XMLHifpReqtjesUobjecf creeren: 
req = new XMLHfipRequest|); 

// Verblnding openen en requetl sluren: 
req.open("GET\ url, Irue); 
req.send(null]; 

// in callboch-methode vtnonden XMl dato 

in XML object omietien: 

xmlRespofise = new XML|req.responseText); 

Het verschil mcl Ajax zoab je dat 
normaal gebruikt is dat het HTTP-ant- 
woord eerst als tekenreeks (respon- 
seTexi) behandcld word! en dat er door 
de conslnictor XM14) een nieuw E4X- 
XML-object uit ontstaat, genaamd 
xmiRexpome, waar jc allcrlei dingen 
mee kunt doen. Wie E4X wil uitprobe- 
ren, vindt op het net een „E4X Expres¬ 
sion Testeri' tlink|, een JavawScript-pro- 
gramma vtwr Firefox dat XML-data 
met Ajax van het web laadt en in een 
E4X-object omzet. De gebruiker kan 
op dit object allerlei E4 X-ex press ies 
loslaten* De XML-data zijn ook met 
een webformulier iiivoerbaar (zie aF 
beelding rechls)* 
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Lifting 5i HTML getiereren 

htil,liead,titu 5 -ny Page 
litil.lifldy.ibgcsLor = ^fe4E<eV'; 
bill,tody. fjrn.Snaif = 'tyforr; 
htiLjinJy^fijrD.aaaiwi = "saiEurLiss'; 
tittl.iody.fiifn.aieEli^ - "pest'; 
hlBL.biidyJofiiJflndid = *r«tyrji seislsO;"; 
litBL.bDdy.forB.inpyt[Q) ='*; 
ttEL.tKjdy.fornJnpiitEDl.iniio = 'test“; 


<hiad> 

Pag* TitU</titU> 

</hfiniv 

4ody bgc^^^(r=‘ltMs4’‘> 

<feri iiaM='iiyfopi" actlcn=’ 50 Bcyrl,jss'' 

Beti)od="piJst" ertlid=''rttyri! 5m]s[};''> 

</fori> 


E4X in vergeiijking met 
DOM-scripting 


Dc ECMA-standaarci bevar optio¬ 
nee! (sic!) mogclijkhccicn um een be- 
schikbaai DOM af te beelden op ecu 
E4X-XML-object* Dal is natuurlijk 
erg nuttig, cn hel kan op twee manie- 
ren gebeuren. die op ecn bclangrijk 
punt veischiUen: 

vof htmlPagino = new XML|doGument]; 

VQF hlmlPagina = XML(documentj: 

Dc eerste regel creeert een nieuw 
XM [^-object nil hcl bcslaande DOM- 
object document. Omdat het cm een 
nieuw object gaat, kun Je veranderm- 
gen maken in htnilFagina zonder dat 
het document verandcri. Bij dc twee- 


de regeJ is dat niet zo. Daar worden 
het cn het XML-ob- 

ject htmtPagina op elkaar afgebccid. 
Gcvolg is dat het commando 

delete hlmlPaginQ..Hl[0] 

dc eerste hi-kop verwijdert nit de 
huidige HTML-pagina. Helaas is 
deze mapping tussen R4X cn DOM in 
Firefox L5 nog niet geimplenieii- 
teerd, Bij een poging dc mapping te 
maken, levert Firefox een exception. 
Om het in ieder geval mogelijk te 
maken dat R4X"Scnpts websites kun- 
nen lezen, gebruikt de bovengenocm- 
de "R4X Expression Tester" een 
workaround: Firefox kan via een 
ingcbouwde XML-serializer een 
scrialisatie van de website maken, 
waarmee een nieuw XML-objeci 
gecreeerd kan worden. 

Samenvatting 

Als jc nog wat voorbehoud hebt 
om weer een nieuwe API tc leren, 
zeker omdat DOM^scripting toch re- 
del ijk gesetlcld is, moet Je toch eens 
wat expert menteren met R4X. Jc hebt 
het in no time onder de knie door de 
korte en inUiitieve schrijfwijze. Een 
reden om B4X daarenlegcn nog niet 
te gebriiiken is de stand van dc tcch- 
niek: in Firefox onlbreekt de optlone- 
le mapping van DOM-objecten op 
E4X-obJecten nog. In eombinatie met 
Ajax functioneert E4X echter vol- 


Lifttng 4: Lii*l in«t bo 9 k«ii faBien 

fundi OB HiUtiVOs'illlingsTt 
fir List : <ul/>; 

lid.jstyle - “ttsHtyU: sijuiM'; 
fir bBdiB - 

for (id) (vir boeh in boelcjt? i 
m titl( = bdJitil.ititU; 
fir prijs = bset.PrijsElfR.ttitO; 
tistdi diKdtfU - (priisWli^^; 

) 

return Ltd; 

) 

fir lid ' lakeListdtesuUinp; 
docuBcd-ifriLeUist}; 

} /‘broil ,■ h d p: / / pubc raif 1 (r. o rg /!0(15 f 12 /Ofi /e4» 


doende voor praktisch gebruik, maar 
wel alleen vanaf Firefox 1,5. 

Alte listings in dit artikel waarvoor 
geen browser nodig is, zijn getest met 
Rhino (Rhino L6 R2 en XML-Beans 
1.0.4). Rhino is de in Java geschreven 
JavaScript-implementaiie van de Mo- 
zilla Foundation. Tot slot rest ons 
weinig anders - zoals wel vaker met 
nieuwe browscrtechnieken - om te 
wachten op een brede en standaard- 
conforme implementatie van E4X in 
mecrdcre browsers. Gezien hel feit 
dat de E4X-standaard alwcer van juni 
2004 dateert, zou dat spoedig het 
geval moeten zijn* 

STEFAN MINTERT 

is XMbcoasulfant en eigenaar van 
Linkwerk.com M 



E4X uitproberen: xmfDocument.,STRONG levert alle gelijknamige HTML- 
elementen op. 


Online bronnen 

SSandard ECMA-357 ECMAScripi for XML 

(E4X) SpeciHcafion, Juni 2004 

www.ecmO'irtferncitronbl.OTg/pljblrta’ 

lions/ 

s1ctndard$/EcTna-357.htm 
ISO/lEC DIS 22537> “Inforrrcition techno¬ 
logy - ECMAScripi for XML (E4X) speciFi- 
cationT stotui jontjorr 2005 is '^50,20, 
FDIS ballot intHaled” 
www.iso.org 

Brandon Eich, Mozilla E4X 

devebpef.mgzillQ.org/presentotions/ 

xtech2005/e4x/ 

E4X Expression Tester www.lin'k- 

werk.com/pub/javbscripj/ 

E4x/e4xlester/ 

Jovoscripi-Engine Rhino www.mo 

zil1o.org/rhlno/ 

Jovoscri pi FAQTS 

www.Faqls,com/knowledge_bus€/mde.x. 
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Nummier 5 
zich aan 

' J ^ # 

* * * * V ' ' f 

Henning Behme * ' /* / 

^ ^ ^ 

^ ^ s 

Ontwikkelaors van Apple, Opero,en de Mczilla .‘ 
Foundation werken op aan nieuwe specificaties voor 
HTML, webformulieren en uitbreidingen voor C*SS en 
voor bet objectmodel van bet W3C. Of ze ver komen 
zonder de zegen van Microsoft en von bet consortium 
zelf, is natuurlijk maar de vroag. 


\ 

0 


E ind jaren negenUg is de ontwik- 
keling van HTML stopgezet* Hef 
cnigc nieuwe aan de opvolger 
van HTML, XHTML, was dat deze 
opmaaktaal in XML gedefinieerd is 
in plaats van in SGML; pas met het 
verschijnen van XHTML2 zal er 
sprake zijn van cen geheel nieuwe 
webtaaL Diverse browseifabrikanten 
(maar diet Microsoft) hebben de 
afgelopen maandcn liun gcdachten 
latcn gaan over de mogelijke verbete- 
ringen en uitbreidingen en deze in 
drie specificaties gcgtHen, 

In april 2i)(H organiseerde het 
World Wide Web Consortium (W3C) 
een workshop rond het thema "Web 
Applications and Compound Docu- 
mentsL Ben van de werkdocumenten 
van de workshop was opgcsleld door 
Mozilla en Opera- Ian Hickson van 
Opera had een ontwerp itigediend dat 
een voorbode was van de webapplica- 
tics die dc "Web Hypertext Application 
Technology Working Group’ 


(WHATWG) sindsdien publiceert als 
ontw'erp voor cen soort nieuwe HTML 
5. Microsoft had tijdcns deze 
work-shop zijn "Extensible Applica¬ 
tion Markup Language' (XAML) geVn- 
troduceerd, dc XML-taal waanmec 
ontwikkeiaars CLT’s in Windows 
Vista (Longhorn) kunnen defmieren. 

WHATWG legt het accent op het 
onlwikkelen van webapplicaties op 
basis van de bestaande standaarden 
(X)HTML, CSS, DOM en Javaseript. 
Op dii moment word! er aan drie ver- 
schillende specificaties gewerkt: 

- Web Applications 1.0: borduurt 
v(K)rt op HTMt- 4 en XHTML, 

- Web Forms 2.0: een uiibreiding op 
de uit HTML 4 bekende lormulicrcn 

-Web Controls 1.0: uitbreidingen 
voor CSS en het objectmodel 
(DOM)- 

Laatstgenoemde is niet meer bijge- 
werkt sinds oktober 2CX>4, maar de eer- 
ste twee worden juisl erg vaak geiipda- 
tel- Soms zclfs om de dag. 


Met vertegenwoordigers van Apple, 
Opera en de Mozilla Foundation kan 
de WHATWG bogen op de drie brow- 
sertabrikanten die na Microsoft het 
meest succesvol zijn. De werkgroep 
nocmt zichzelf open en hecfl naar 
eigen zeggen ook Microsol'l benaderd, 
maar zonder succcs. Begin dit Jaar 
heeft het W3C in elk gevai de Web 
Porms-specificatie overgenomen en 
verordonneerd dal dc verdere ontwik- 
keling m4>cl gcheuren in samenwer- 
king met dc HTML- en XForms-werk- 
groepen van het consortium. 

Eerste prioriteit: 
compatibiliteit met IE6 


Wie meent bij de oniwikkeling van 
HTML voorbij te kunnen aan Micro¬ 
soft, komt vermoedelijk niet erg ver, al 
winnen de andere browsers als Firefox 
wal aan populariteit. Want waar de 
meeste tech-websites legenwoordig 
ongeveer evenvaak met Firefox als met 
Hi worden bezocht, wordt de gemid- 
dekle website nog allijd in zo’n 80 pro- 
cent van de gevailen met Internet Ex¬ 
plorer bezocht. De op Mozilla-gebase- 
erde browsers liggen dus nog ver ach- 
ter op hun groie concumenl. 

Geen wonder dus dat bij de zeven 
ontwerpprincipes in het werkdocument 
uit 2004 backward compatibility met 
1E6 op dc cerste plaats siond. Toch 
vreesde bijvot^rbeeld Kendall Grant 
Clark (zie "Online bronnen’) voor een 
nieuwe browscroorlog. Waarschijnlijk 
willcii dc strijdcndc partijen - om maar 
even in het oorlogsjargon te blijveti - 
vooral een verdcdigingslinie oplrekkcn 
legen de nieuwe lechnieken van 
Microsoft, en dan met name XAML. 
Ook willcn zc webstandaarden loegc- 
wczen krijgcn en die verder ontwikke- 
len. In hoeverre er kansen bestaan dat 
het W3C dc specificaties a) maar 
gedecltclijk ovemeemt, is nog niet diiL 
delijk. Dat zou beslist anders zijn als 
Microsoft zich bij de WHAT-grtTCp 
zou voegen, maar zelfs dat is erg 
on waarschijnlijk. 

Op dit moment worden in ieder 
geval dc specificaties voor HTML en 
dc formulieren nog gercgeld bijge- 
werkt, dus hierover staat nog niets 
vast. Dc updates van de Hl'MI.-speci- 
ficatie betreffen een aantal zeer ver- 
schillende ondcrdclen, zoals de inline- 
markup voor pop up-ve ns ter s, boom- 
stmeturen over meerdere kolommen en 
een rich-text HTML-edilor. De speci- 
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ONLINE-BRONNEN 


W3C Workshop on Web Applications 

end Compound Documents wsvv//w3,'0f3/2OO4/O4/w^etapp£^'qdf“V/s/ 

Position Paper for the W3C Workshop on 

Web Appltcofions and Compourtd Documents www.w3:.org/200;4/04/; ' 

weboppS'Cdhws/popers/opera:b!mf ; 

WHATWG 

Web Applicoftons 1.0 
Web Forms 2.0 
Web Contrqfs LO 
Canva&'Tutoriol 


Drawing Graphics with Convas 

Kendal! Grant Clark: Mo^ilJa and 
Opero Renew the Browser Battle 


w w w, w h Q i w g . 0 / g / s p.e.cs / w e.b' o p p s/cu r re.n! - w o r k/ 
WWW. a t Wg .0 f g / s p e.c s/w e bd p rm/ cy; re n t-W o r k /’ 
w w w. wh a t w g, .0 f g / s p ecs/^eb-c o n 1 ro (s/c u r re ni :Wp r k/ '= 
developer.moEiifa.org/en/docs Canvas_tLJlorjdl& 


e=yes 

deve 1 0 p e r. m ozlllo, o rg/c n/docs/O rowi ng^Gto ph [Cs_ 
:Wiih_Canvps'? ■ 

Kml c9m/pub/a/2004/06/1 6/devtont,htrnl 


ficatics voor forms rnoeten onder aiide- 
re een brug siaan lussen de XFomis 
van het W3C en de browsers die dem 
niel geimplementeerd hebben. 


canvas al geruime tijd geimplemen- 
teerd* Eii omdat ook Firefox vaiiaf ver- 
sic 1.5 overweg kan mcl hcl clcmcnl, 
hebben we bier een voorbeeld opgeno- 
men. 


beetje k la SVG voor dat het logo goed 
gepositioncerd is cn dal de richting 
klopt. Met stroke en fill wordt de rand 
bewerkt en de vorm opgevuld. Met 
strokeStyle en fdlStyie is ervoor gc- 
zorgd dat de blauwtinten in de punt op 
de ‘i* en in de ‘X’ van elkaar verschib 
Icn. 

Links boven de canvas-tekening is 
het logo van de Duitse iX-beifstconfe' 
renlie le /Jen, die afgelopcn november 
in Keulen werd gebouden. Dat is een 
demonstratie van het toevoegen van 
een achtergnmd aan een canvas via 
een CSS’-declaraiie* Fn je kunt bet zo 
complex maken als je zelf wilt: de spe- 
cificatie steltook bogen en Bczicr-cur- 
ven beschikbaar, even als de transform 
maties scale(x, y) voor het vergroten of 
vcrklcincn van een object^ rotate(hoek) 
om het te draaien en translale(x, y) om 
bet te verplaatsen. 

Conclusie 


Tekenen zonder SVG 
met canvas 


De belangrijkste veniieuwitigen in 
'HTML 5’ zijn elcmcnten als askle en 
datagrid en canvas. Vooral die laalste 
is een belangrijke troef, want hiermee 
kun je biUnapgraphics aanzicnlijk ge- 
makkelijker in een HTML-pagina inte" 
greren dan met SVG (Scalable Vector 
Graphics). Opera kent dat element 
wellswaar nog iiiet, maar in Safari is 


<tine>nt;atiy3s6^t;: itl lineTu ♦ ttrE<nilU> 
''Teit/j3v^sEript '> 
fufitiiiin tntftOC 

// caniras-deneK dndcfl itt MU: 
vjr canvas = ifocunfrt.ttlEtdentldiif'iJiD; 
H Mlegn bij caitvas-ondersteudng 
ff (c3nv3SH3etCiml«t)t 
U 2&-tehrfr 

vir mnn = cfluvai.getConnildid'i; 

n Lijneni telcncr: i 
({rnten.bsginhUtj; 
caiiUn.iovtTd1?5,Z25); 

cfli!le]!t.riivcTd225j225); 

ciKstext.line!dt7S,23SJ| 

cimnxt.strolitt); 

// Ciflid; paranders: t, h radias^ 

// Beiiri', (indbel, id de Het nee 
centen. arc (21(1/ ISd/ 30; H; 
llath.PI+{«ath.(^I*2}/E, trueJ; 
cptedHtilLStyL! = “rgM204, 20C 255) 
cented JiltO; 

// K Eektrun 

certen.be9inlath{h 

cor ten. love to (23 5,2 25); 

torten4ieeIo(13Sy36S); 

cortcn.linETo(115,365); 

corteJil.l™io(25(l,27S); 


Onderstaande listing (onlleend aan 
de twee online bronnen), bevat in de 
body naast twee alinea's (p) alleen nog 
hcl clement canvas, waarop de Java¬ 
Script-functie teken toegang krijgt via 
de ID van het element Cix'). Dankzij 
de DOM vindt de functie het juiste ele- 
ment (j^eTFJemenTByid("ix')) en test 
vervolgens of de browser het element 
canvas kenL Zo ja, dan tekent de func¬ 
tie een " V met punt en een hoofdlctter 
'X\ die samen een nogal nidimentaire 
versie van het rX-logo vormen. De ele- 
menten lineTo en arc zorgen er een 


Met de implementatie van clemen- 
ten zoals canvas in Firefox zouden de 
voorstellen van de WTIATWC wel 
eens sneller gehcKir kunnen vinden. 
Boveiidien zxil het zeker bijdragen aan 
de interesse voor de nieuwe mogelijk- 
heden van de browser. En dat geldl 
niet alleen voor opvolgers van HTML, 
maar zeker ook voor de formulier- 
Liilbrcidingcn. 


csnUi!t.liiifTo(23()|325); 
context.Mii?To(33&;325); 
coetcxtHlineTo[2!fl;225); 
cfliiite!(t.iiiiele(J3ili;US); 
Eonten.liii(T&(2!(J,165J; 
cortci(t.lincTo{2i5,TS5l; 
Eorten4incTof245,t65J; 
cojituLlirifiTQ{205,U5); 
cortEi!t.LtncT0(235,Z25); 
contsxt.fiHStyU - 'rgbddZ, 1D2; 

153) ^ 

coitteit.fiiLO; 

I else i Hlaas alleer voor bepaatde browsers 



HertCSafari of Flrefo!! T.5* voor 6U;Eaiivistgt; versSst/) 


) 

} 

<7script> 

<snU trpe= "tsitfEs^ '*> 
p t Birgipi-lefl: iei; urjin-right: &(■; \ 

Cftiivai ( baelgroHAd; orUiibivf no-repeat; 
aargiti-left: 5et; border; 12px groove l?9c; } 

</styLi> 

</be3(l> 

-(biHtir onLcnf= “nkenO;" > 

h em lUUHurigt alinEi..,<Fp> 

■<CJiivis ii" lidLb^ HOP'' ></canvis> 

<p>bit Is een iiUekedrip Hirea...cfp> 

^ibed^> 


Bitmap-afbeelding; 
waarvan de 
broncode doet 
denken aan 5VG» 
canvas kun je net 
als andere HTML- 
elementtn met CSS 
positianeren of van 
een ochtergrond 
voorzien. M 
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■■!i?TiT:'TTrr;—M—■ Systeembevelliging 



Rootkit-detectie 
onder Windows 

Op het 

tweede 

gezicht 

Wilhelm Dolle, 
Christoph Wegener 


Veel simpele malware is gemakkelijk met virusscanners te verwijderen, maar zogenaam- 
de rootkits zi[n een heel ander verhaal. Een rootkit verbergt zich zo diep in het systeem, 
dot de bijbehorende bestanden en processen niet eens zichtbaar zijn voor andere pro- 
cessen. Maar hoe kun je een rootkit dan tiberhaupt detecteren? 


H et bestiian van Trojaanse paur- 
den en backdoors in sonimtge 
software was al lunger bekend; 
ontwikkelaars van antivirusprogram- 
ma's ^ijn er dagelijks mee bezig* Maar 
de laatste tijd is er cen opvallende loe- 
name van malware geeonstateerd, die 
het besturingssysteem door middel van 
rootkittechnologie z6 rnanipulcert, dat 
dc aanwezigheid van de rootkit verbor- 
gen blijft voor eenvoudige virusscan¬ 
ners. De eerste legejimaatregelen zijn 
nu eindelijk beschikbaar in dc vorm 
van ‘aangepaste’ scanprograinma’s. 
Met bekendste voorbeeld van een 
Toolkit is intussen de XCP-softwarc 
van First4Intemet, die op diverse 
populaire Amerikaanse cd's van 
Sony/BMG zal en zichzelf op Win^ 
dows-coinputers installeerde biJ het af- 
spelen van de cd. In zustenijdschrift 
c'l hebben we bier al eerder over ge- 
schreven. De primitievere schadelijke 
programma's kun je meestal zelf ont- 
dekken als je de processenlijsi van het 
besturingssysteem doomeennt, als je de 
nerwerkverbindingen bekijkt of als je 
zoekt naar vreemde bestanden op je 
harde schijf. XCP wordt een rootkit 
genoemd omdat het de eigen bestanden 
onzichtbaar maakte vwr normalc pro- 
gramma’s en bet pnx;es onzichtbaar 
was voor de Windows task manager, 

28 


Maar intussen zorgde de software er 
wel voor dat Windows de cd niet kon 
kopieren! 

Het begrip rootkit bestaal al zo'n 
tien Jaar. De temi staat in zijn oervorm 
voor cen vcr/.ameling ncpversics van 
Unix-systeemprogramma’s zoals ps, 
netstat en Is. Deze gemanipuleerde 
programma’s worden na een inbraak 
door de computerkrakers geinstalleerd 
over de normale versies been, De nep- 
prograiTima’s zorgen ervoor dat zoveci 
mogelijk sporen van de inbraak ver- 
borgen blijven, zelfs voor de beheerder 
Croot’), terwiji dc indririgcrs onbe- 
pcrklc tciegang houden. 

Rootkits zijn berucht omdat ze pro¬ 
cessen, netwerkverbindingen, bestan¬ 
den en directories onzichtbaar kunnen 
maken, een ix: remote kunnen laten be- 
sturen, backdoors kunnen installeren 
en omdat ze op versehillende manieren 
bet systeem afluisteren, Zo kan een 
rootkit ongemerkl alle toelsenbordin- 
voer loggen of al het netwerkverkeer 
seaitnen op wachtwoorden. 

Rootkits zijn in elk geval geen tools 
waarmee je zelf in een computer kunt 
inbreken . Dat beeld is ontstaan doordat 
rootkits vaak genoemd worden in ver- 
band met succesvolle inbraken en 
omdat malware-schrijvers ze vaak 
combineren met exploits, met als resul- 


taat andere schadelijke software zoals 
wormen. Denk hierbij niet eens zozeer 
aan remote exploits, waarmee je inder- 
daad via bet netwerk kunt * inbreken’ 
dankzij een softwarebug, maar vooral 
aan de vaker voorkomende local 
exploits om als je eenmaal op een com¬ 
puter bent iiigebroken, beheerders- 
mchten le krijgen. Dat maakl het een 
eitje om eigen code binnen te sluizen 
in het hart van het besturingssysteem: 
dc kernel, 

Rootkits kunnen grofweg in twee 
typen onderverdeeld worden, namelijk 
user-mode cn kernel-mode rtK>lkits, Dc 
oodere user-mode rootkits bestaan uit 
de eerder beschreven gemanipuleerde 
sysLccmprogramma's. Ook een SSH- 
server met een backdoor, zoals een ge- 
heime login met rootrechten en een be- 
paald wachtwoord, wordt hientx: 
gerekend, Maar Je kunr ook den ken 
aan een door een rootkit gemodificeer- 
dc Windows Task Manager die bepaal- 
de processen niet meer kan weergeven. 

Rootkits in kernel-mode 

Maar ook de kernel kan i>p diverse 
manieren worden "geinfecteerd’^ met 
een rootkit. Programma’s kunnen bij- 
voorbeeld tijdens runtime code aan de 
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Links xie je de directory von 
de voorolsnog inactieve rooN 
kit HackerDefender in de Ver- 
kenner [afbeeldtng 1), 

In het rechter venster zie je 
het resultoot terwiji de rootkit 
Qctief is: HackerDefeitder ver- 
bergt olle files die zijn oonwe- 
zigheid verroden (afbeelding 
2). 


kernel toevoegen, bijvoorbeek! in de 
vorm van drivers* Ze kunnen echter 
ook veilighcidsgalen misbniiken (met 
een local exploit) en code direct naar 
hot interne gehengen schrijven of het 
kemclimage op de harde scliijf veran- 
deren. A Is de rootkit eenmaal actief is 
in de kernel, is het iiiet meer nodig om 
losse prograrnina’s te manipuleren oni 
bijvQorbecld bcstanden vcrborgcn le 
houden, omdat de rootkit nu zeff kan 
bepaien welke infonnatie zo’n pro- 
gramma van tic kernel krijgt, 

Een rootkit die in de kernel is door- 
gedrongen heeft iegio mogelijkheden 
om het hesluringssystcem le manipule¬ 
ren. De kernel beheert alle processen 
ill een lijst en wijst ze o*a. om de beuH 
een bepaalde hoeveelheid processortijd 
toe. DcHir deze lijst op de juiste manicr 
te vemnderen ts het mogelijk om pro- 
cessen te verbergen. Door veranderin- 
gen aan te brengen in de gegevens- 
stmeturen van de gebruikte bestands- 
systemen (bijvoorbeeld NTFS) kunnen 
bcstanden en directories zelfs voor de 
systeembeheerder verborgen blijven. 
Bovendien kan een rootkit, afhankelijk 
van het programina dal de gegevens 
opvraagi of hei type toegang dat ver- 
leend wordt, verschillende versies van 
een bestaiid uideveren. Als er een 
SSH-server moet worden opgcstart, 


dan wordl dc versie met dc backdoor 
gekozen, maar als een antivimspro- 
gramrna leestoegang vraagt, krijgt het 
dc onveranderde origincle versie tc 
zien. Ook bi j toegang tot het Windows 
Register kunnen sleutels verkeerd of 
zclfs heiemaal nicl weergegeven wor¬ 
den (afbeelding 1,2). 

De organisatie van het besturings- 
systeem speeli een essemiele rol bij het 
‘goede’ functioneren van cen rootkit. 
De processor zelf zorgr voor de schei- 
ding tussen user- en kernel-mode. Een 
van de bekendste voorbeeldcn van ge- 
heugen- en processcheiding is het ring- 
principe, waarop ook Intel zijn x86- 
cpu-famiiie sinds de 386 gebaseerd 
heeft, Dit prinetpe gaat uit van vier rin- 
gen, waarbij ring 0 de meeste en ring 3 
dc minste rcchten heeft om toegang te 
krijgen tot de hardware. De epu kenl 
aan ieder proces een ring toe en ver- 
hindert clke toegang tot een ring met 
een lager nummer. Net als de mecsle 
besturingssystemen gebruikeii ook 
Windows en Linux alleen ring 0 (dus 
de kernel-mode) en ring 3 (de user¬ 
mode) van een x86-cpu. De kernel en 
de drivers lopeii in ring 0 en alle appli- 
caties (bijvoorbeeld ickstverwerkings-, 
maar ook anti-virusprogramma’s) 
draaien in ring 3. 

Ook programma’s met beheerders- 


rechten zijn voor de kernel gewoon 
programma’s cn draaien dus in ring 3 
(user-mode). Het gaat dan om de 
meeste tools die rootkits en andere 
schadclijkc programma'^s kunnen op- 
sporen. Ontwikkeiaars van antivirus- 
software moeten er dan ook rekening 
mcc houden dal een kernel-mode root¬ 
kit meer reebten heeft dan bun virus- 
scanner* Daardoor kan de rootkit zich 
verbergen voor het opsporiiigspro- 
gramma of het zelts heiemaal uitscha- 
keleii. Deze lastige situatie heeft in het 
verleden altijd geleid tot een heftige 
ratrace tussen antivirus- cn malware- 
ontwikkeiaars. De rechten van een 
rootkit in kernel-mode voorkomen dat 
zowcl gebruikers als virus- en spywa- 
rescanners de actuele rootkits in het 
systeem kunnen opsporen. Nieuwe 
cross-view-gebaseerde methoden om 
rootkits op te sporen hebben het pleit 
voorlopig in het voordeel van de 'goe- 
den" beslecht. Deze methoden niaken 
gebmik van het feit dat een heimelijk 
werkende rootkit gemanipuleerde ge¬ 
gevens doorgeeft als een programma 
die opvraagt via de traditionele kernel- 
interfaces (API's). Die gegevens 
komen dus niel overeen met de echte 
inhoud van het geheugen, het be- 
standssysteeni of het register, en daar- 
mee is verradeii dat dat het systeem 
geYnfecteerd is met een rootkit. K.orL- 
oni,een cross-view rootkitscanner pro- 
beert om verborgen bcstanden, directo¬ 
ries en registers te vinden door dc 
inhoud van een bestandssysteem of het 
register eerst op te vragen via de nor- 
male beslnringssystccm-APrs Lhigh 
level’) en deze infornmtie vervolgens 
nogmaals op te vragen zonder gebruik 
te maken van deze APFs, maar door 
functies te gebruiken die dieper in het 
systeem liggen (Mow leveP). 

Een voorbccld van zulkc low-level 
toegang is het opvragen van dc inhoud 
van raw sectors op de harde schijf, via 
dc funcLic ReadMle(). Dc scanner pro- 
beert de ingelezen sectoren volgens de 
regels van het bestandssysteem zelf te 


Jl-TRACT 

• In legenslelling tot eenvoudigere malware zoals viryssen verbergen, root¬ 
kits zich in een systeem door registry-entries en andere sporen die hun 
oanwazigheid verroden le verbergen. Het is daardoor lostig om rootkits le 
herkennen en te verwijderen. 

• De nieuwere methoden om rootkits le vinden vergelijken de gegevens die 
via normale inlerfaces van het besturingssysteem verkregen zijn met de ge¬ 
gevens die noor voren zijn gekomen uit lowdevel-occess. 

• De eerste produclen met deze nieuwe detectiemethoden zijn al op de 
markt, moor ze siogen er voorolsnog niet in alle rootkits bp te sporen. De 
enige 100% zekere manier om een geinfecteerd systeem schoon te krijgen 
blijfl een compleet nieuwe instollatie. 
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parseren, interpreteren eti weer in be- 
slander) en directories om te zetten, en 
kan daama een vergelijkiiig maken met 
de bestanden en directories die er vol- 
gcns hcl besiuringssysteem zijn. Ana- 
loog daaraan kun je de regtsiry hives^ 
de bestanden waarin de Register-gege- 
vcns op de harde schijf liggen opgesla- 
gen, van de harde schijf extraheren en 
verge!ijken. Ook de datastructuren in 
hot gchcugen waarin processen be- 
heerd worden, zijn in ruwe vorm op- 
vraagbaar, Er zijn inmiddels al soft- 
warebouwcrs die cross-view-based 
rootk it-detect ion in dedicated rootkit- 
detection-tools voor Windows-pc's 
toepassen. Op Unix-gebaseorde scan¬ 
ners gaan wc hier niet in; diiarvoor ver- 
wijzen we miarchkrootkic.org. 

RootkitRevealer van 
Sysinternals 

Sofiwajefabrikajit Sysintemals was in 
februari 2(J05 met pn)gramma Root¬ 
kitRevealer (WWW, sysinternals.com/ 
Utilitjes/RooikilRevoaior.hlinl) de eerste 
die cen rcK>lkitoplossing gebaseerd op 
bovenstaand principe aanbood. De tool 
is bij Sysinternals gratis te downloadcn. 
RootkitRevealer is geen prograiTuna dat 
met een druk op de knop een rootkit her- 
kent en verwijdeit. Hel geeft allcen aan 
of er zich vreemde situaties voordoen op 
het systeem. Of het daadwerkelijk om 
een rootkit gaat, dat meet de gebmiker 
zelf zicn tc achlcrhalcn. 

De tool draait onder Windows vanaf 
versie NT 4. ITiJ geeft de discreparities 
aan die hij vindt bij hel doorzf>ckcn van 
het register en bij het doenmenteren van 
de directory-inhoud (afbeelding 3). De 
tool is geschikier voor cen ervaren bc- 
heerder dan voor dc eindgebmiker, Vol- 
gens de auteurs herkent RootkitRevealer 
alle hardnekkige rootkits die bij dc ge- 
specialisccrde website www.rootkif.com 
bekend zijn. De auteui-s wijzen er vei'der 


nog uitdrtikkelijk op dat de tool geen 
rootkits herkent die geen bestanden of 
registry-sleiitels verbergen. Maar om dat 
smrl rootkits te ontdekken, zou een an¬ 
tispyware-tool of een virusscanner weer 
voldoende moeten zijn. 

In de huidige versie 1.55 van Rootkit¬ 
Revealer is geen commandline-tool 
meer te vinden. De reden daarvoor is dat 
malware-ontwikkelaars ecu draaiende 
scanner konden herkennen aan de naam 
van diens executable en maatregelen in 
hnn software hadden ingebouwd die lij- 
delijk de malware-software deactiveer- 
den of die het scanproces beeindigden, 
Daarom loopt de eigenlijke scan op de 
achtergrond. als een dienst met een wil- 
lekeurig gekozen naam. 

Je kunt RootkitRevealer overigens 
wel oproepen via de opdrachtregel om 
een automatische scan te starten die zijn 
resultaten in een bestand opslaat. Bij de 
grafisehe versie hoelt de gebruiker al- 
leen op de scan-knop te dmkken en even 
later verschijnen de verdachte bestanden 
cn registcrsleutels met hun volledige pad 
en het soort "anomalie’ op het schemi. 
Afbeelding 3 laat de registersleutels en 
de bestanden van de nK)tkil Hacker- 
Defender zien die de RootkitRevealer 
gevojiden lieeft. 

De melding die bet vaakst voorkomt, 
'Hidden from Windows APT, kan crop 
wijzen dat een systeem gemfecteerd is 
geraakl met schadcUjke software. Helaas 
legt Windows ook zelf verborgeii secto- 
ren aan, wat het voor de gebruiker fastig 
maakt om de echle van de valsc alann- 
meldingen te onderscheiden. Een ty- 
pisch voorbeeld hiervan vomien de me¬ 
tadata in hel NTFS-bestaiidssystecm, die 
in zogcheten Allemale Data Streams 
(ADS) zijn opgeslagen. Om te voorko- 
men dat zulke foutmeldingen weergege- 
ven wortlen, aetiveert RootkitRevealer 
standaard de optie 'Hide Standard NTFS 
Metadata Files'. Een andere melding die 
kan duiden t>p onrcehlmatigheden is 
'Access is Denied’, aangezien die op 
gi'ond van de beheerdejsrechten waar- 



Ro 0 frkitReve 0 [er meldt dis- 
crepanties en eigenaordrg- 
heden op het systeem. 
Moor of het om een root¬ 
kit goot moet de gebrui¬ 
ker zelf uitzoeken (afbeel¬ 
ding 3). 


mee het progranima loopi niet zou 
mogen voorkomen. 

Als de gebruiker de menuoptie 'Scan 
Registry’ niet gedeactiveerd heeft, wijst 
RootkitRevealer ook op vcrsehillen in 
dc Icngle cn lypen van registj^-entries. 
De tool geeft ook een waarschuwing als 
er mil characiers voorkomen in de 
naam van rcgisiiy-sleutels, een bekende 
malware-tme die ervoor zorgt dat het 
met Windows meegeleverde RegEdit dc 
betreffende registry-sleutel incorrect 
wccrgeefl. 

Op zeer actieve systemen kornt het 
vaker voor dat gegevens in het register 
Lijdcns runtime van de scan veranderen, 
Tijdens onze test gebeurde dit bijvoor- 
beeld onder invloed van actieve databa¬ 
ses cn vimsscanner.s. De afwijkingen 
worden dan weergegeven als ‘Data mis- 
jnatch between Windows API and raw 
hive data’, en de gebmiker moet dit zelf 
interpreteren als een vals alarm. Dat 
geldt ook voor bestanden die lijdcns dc 
scan aangcmaakt of gewist worden. 
Deze zijn uit het oogpunt van Rootkit¬ 
Revealer niet tegeiijkeitijd bereikbaar 
via de API, de Ma.stcr File Table (MET) 
en de directory-index en zorgen daarom 
ook voor een vals alarm. 

Al met al Icvcrt RootkitRevealer een 
acceptabele bijdrage aan de opsporing 
van verborgen rootkits. Helaas verwij- 
derl deze tool geen moLkils, en doci hij 
zelfs geen vtxirstellen over hoe dat zou 
moeten gebeuren. De gebruiker moet 
dus zelf infomiatie zoeken over de ge- 
vonden bestanden, dc registry-entries, 
het soort lootkit en de beste oplossing 
om ervan af te koinen. Dat is echter 
V(K)r eenvoudige compiilergcbruikers 
erg moeilijk. Zelfs voor specialisten is 
de meest effectieve algemene methode 
hel verwijderen en hcL opnieuw inslalle- 
ren van het complete systeem. 

F-Secures BlackLight 

Het programma BlackLight van de 
Finse virusspecialist F-Secure (http:// 
www.f-secuJ■e.co^^^lacklight/) gaat nog 
iets verder dan RootkitRevealer. Het 
programma werd op de CeBIT van 2CK)5 
als betareiease vrijgegeven en kan in de 
huidige volledige versie gratis gebmikt 
worden tot 1 maart 2006. Het draait 
onder Windows-systemen vanaf Win¬ 
dows 2(X)0 en richt zich vooral op de 
onervaren gebruiker, wat blijkt ujl het 
fett clat het programma geen lijst opstelt 
van verdacltte bestanden j maar een 
waarsehuwing afgeeft voor objecten die 
waarschijnlijk tot een rootkit behoren. 
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op twee punten is BlackLight in ieder 
gcva] uitgebreider dan RootkitReve¬ 
rier: BlackLight bekijkt de verborgen 
processen en laat zich bovendien niet 
10 gemakkelijk beinvloeden door in- 
vocr die Lijdens de scan verandert. 

Net als RootkitRevealcr bestaat 
BlackLight uit slechts een uitvoerbaar 
bestand en bet programma behoeft 
geen verdere installatie. Nadat de scan 
geactiveerd is door een druk op de 
knop, zoekt het programma naar ver¬ 
borgen processen cn naar bcsianden 
en directories op alle lokale stations. 
Tenslotte geeft het een overzicht van 
de gevonden objecten cn kao de gc- 
bruiker de actuele processen I ijst op- 
vragen, inclusief alle verborgen pro¬ 
cessen* Afbeelding 4 taat de 
BlackLight-processenl ijst zien, met 
daarin de MackerDefender-rootkit. In 
de tweede slap (afbeelding 5) kan 
BlackLight de gevonden bestanden 
hernoemen en ze zo onschadelijk 
niakcn. 

Maar ook hier is voorziehtigheid 
geboden. Ook al idemificeerde Black- 
Light in onze test alle rootkits correct 
en zorgde hij ervoor dat zc in ieder 
geval niet opnieuw zouden opstarten, 
dan nog is het niet verstandig volledig 
en uitsluitend op dit ene programma te 
vertrouwen. Als er geen malware ge¬ 
vonden wordt, betekent dat niet nood- 
zakelijkerwijs dal die ook echl niet op 
je systeem staat. In de hclp-functie 
van het programma wijst F-Secure er 
op dat er maar een betrouwbare rna- 
nicr is om je syslcem op le schonen na 
een succesvolle mbraak, en dat is door 
het systeem complect opnieuw te in- 
slalleren* Hel henioemen van bestan- 
den is alleen een optie als een comple¬ 
te herinstallatie niet aan de orde is. 
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BlackLight laatde complete proces> 
lijst lien, dus inclusief verborgen op- 
piicaties — in dit geval de rootkit 
hxdef100.exe (ofbeelding 4). 


Microsofts Rootkit-project 

Microsoft gaat met zijn roolkit-detec- 
tieproject Strider GhostBuster (research* 
microsoft.corn/rootkit) nog een stap vei- 
dcr dan dc ecixlcr genoemde producten* 
Op dit moment bestaat het project echter 
alleen nog uit concepten en technology 
reports* Dc software is nog niet beschik- 
baar gesteld, maar werd tot nu toe alleen 
nog op conferenties gedemonstreerd* 
Microsoft introduceert onder dc naam 
WinPE GhostBuster een zogenaamde 
'outside-the-box clean scan% die een 
hardc schijf kan scannen via cen 
WinPE-systeem dat vanaf cd te booten 
is. Alleen vanuit zo'n ‘schone' omge- 
ving weel jc zeker dal een cventueel 
aanwezige rootkit de scan niet manipu- 
leeit. De resuUaten van deze zuivere 
scan worden dan vcrgcleken met de re- 
suitaten die een traditionele scan via dc 
Windows APFs djdens iiormaal gebruik 
oplcvert, cn de afwijkiiigen worden in 
kaart gebmeht. Over het nut van dit 
soort scans kan echter gediscussieerd 
worden, want de vereisie ‘zuivere* bool 
van het systeem is v<.M>r vccl servcrappli- 
caties nagenoeg ondenkbaar. 

Mel zijn ‘inside-the-box GhostBus¬ 
ter’ combinceri Microsoft de funclio- 
naliteit van RootkitRevealcr en Black- 
Light* Deze scanner zoekt namelijk 
door middel van high-level-access via 
de Windows APFs naar processen in 
het register en naar bestanden en direc¬ 
tories en vergelijkt deze gegevens met 
de data van de overeenkamstige low- 
level-access. De opzet klinkt zeer veel- 
betovend, maar of Microsoft ook van 
plan is biervoor algcmcen verkrtjgbare 
software te ontwikkelen, is nog niet 
bekend. 



Met een druk op de knap wordt de 
malware hernoemd en daarmee 
ontmanteid [afbeelding 5). 


Conclusie 

De cross-view-gebaseerde metbode 
om rootkits op te sporen heeft als groot- 
ste nadeel dat je daannee geen rootkits 
kunt dctectercn die hun aanwezigheid 
niet geheim houden, maar zichzelf tijde- 
lijk uitschakelen als er een scan loopt. 
Dit nadeel kan worden verholpen dtxDr 
de scan te combineren met een antivi¬ 
rus- of antispywarepiogramma. Met 
deze combinalie kun je de malware met 
redelijk grote zekerheid opsporen. 

Er zijn rootkits die behoorlijk lastig 
op le sporen zijn, zoals nxUkits die geen 
pennanente veninderingen doorvoeren 
op het systeem en dus ook geen traceer- 
barc sporen achlerlalcn. Dit soort mal¬ 
ware overleeft weliswaar geen reboot, 
maar liun ontwikkelaars gaan ervan uit 
dal ze hel systeem problcemloos op¬ 
nieuw kunnen besmetten door middel 
van exploits voor veiligheidsgaten waar- 
voor nog geen patch bestaal, de zoge¬ 
naamde zero-day-exploits [ I ]* 

Cross-view is daamaast niet heilig: 
rootkits kunnen ook systeemfuncties 
manipulcrcn die gebruikt worden bij 
lowdevel-access, waardoor ze zich 
beter kunnen verbergen. Dat is de on- 
verm ij del ijke volgendc stap in dc rat- 
race: zowel de rootkits als de scan¬ 
ners zullen complexer worden. 
Hoewel sommige experts beweren, 
dat rootkits niet zo diep kunnen gra¬ 
ven, bijvoofbeeld door de niet-pu- 
bliek gedocumenteerde NTFS-struc- 
tuur, is het nog maar afwacbten 
welke kwaadaardige functies de vol- 
gende geiieratie rootkits met zich 
meebrengt* Het fcil dat cr nu scanners 
voor rootkits bestaan, heeft de lat in 
ieder geval hoger gelegd voor rootkit- 
ontwikkelaars die bun programma’s 
verborgen willen houden. 
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RIVIEW 


Draad 


Tools voor Radio 
Frequency Monitoring 

Spionnen 

bespied 

Steffen Troscher 

RF-moniioring-systemen zijn de 
politieagenten van de ether: ze 
minimaliseren gevaren binnen 
draadloze netwerken. We hebben 
drie monitoring-tools onder de loep 
genomen en bekeken of ze in stoat 
zijn indringers fe onfmaskeren. 



D raadkx>s internet is daiikzij Wire¬ 
less LAN van/elfsprekend gewor- 
den* Niet alleen in hotels en vlieg- 
velden, iiiaar zowat op elke straathoek 
zijn access ptiints te vindcn en gebmi- 
ken. Ook bedrijven gebmiken steeds 
vaker WLAN oni werkplekken aan te 
sluileo op hct interne bcdrijrsnctwerk, 
Maar dan wordt goede beveiliging wel 
essentieel, want de ettier is oncontroleer- 
baar, Draadloze netwerken zijn een ge- 
makkelijk doelwit voor hackers. Met 
krachtige aiitennes kun Je zelfs van kilo¬ 
meters afstaTid verbinding Icggcn. Er be- 
staan zelfs lieie plattegroncien van access 
points, die je makkelijk kiint vindeii 
door Le zoeken op wardriving of open 
access points. 

In bedrijven worden dan ook vaak 
aiilhenlicatic- en versleutclingsmecha- 
nismen gebruikt, om te vennijden dat 
vreemden het gegevensverkeer onder- 
sclieppen of dat ze een ongeoorloofde 
verbinding krijgen met een WLAN ac¬ 
cess point. Doorgaans haalt zoiets pas de 
kranlen bij grootschalig misbmik: in 
2(X.)4 bekende Nicholas Tombros, de 
eerste drive-by spammer, schold voor 
een rechtbank in Californie. 

Risico's 

De iiimiddels traditionele beveiligin- 
gen bieden geen bescherming tegen een 
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nieuwe generatie WLAN-bedreigingen, 
zoals access points die ongeoorlootd op 
een bedrijfsnetwerk aangesloten zijn, 
zogenaainde rogue-AP"s. Eteze worden 
door medewedcers gcinstalleerd om 
cojnfortabel draadloos op het intranet te 
kiinnen werken. Vervoigens blijken ze 
z6 onbcvciligd te zijn, dat hackers er net 
zo makkelijk gebruik van kunneii 
maken. Naast de access points zijn ook 
veel clients een gemakkelijk doelwit. 
Vaak koint dat door verkeerde 
confjgiiraries of onbedoeld geactiveerde 
WLAN-functies. Het is voor een aanval- 
ler bijvoorbeeld een fluitje van een cent 
om een access point te simuleren. Als 


JJ-TRA€T 

• Radio Frequency Monilorfog 
wordt gebruikt om niet^geautorh 
seerde WLAN-systemen op te 
sporer^ en draagt bij oon de r^et- 
werkveiligheid. 

• Sommige RF-monitoring-systemen 
Itunnen indringers opsporen en 
ze zelfs blokkeren. 

• Belangrijice beoordeiingscriterio 
van djt soort systemen zijn het 
detoilniveou waarmee de policies 
ingesteld kunnen worden, het her- 
kennen von aanvallen en de 
beschikbore fegenmootregelen. 


een WLAN-client dan automatiscfi 
verbinding probeert te maken met het 
fbedrijfsjiietwerk staat de aanvaller via 
een zogeheten ad-hoc-verbiiiding direct 
in contact met de WLAN-client. 

RF-monitoring heeft tot doel de ether 
in de gaten te tiouden en zo de risico's 
van het draadloze net te minimaliseren. 
Sensoren die in het geobserveerde ge- 
bied opgesteid staan, sturen de informa- 
tie dtx)r naar een centrale server (zie aL 
beelding 1). Op die server vergelijkt de 
RF-monitoringsofiware de waargeno- 
men situalic met de ideale situaiie, die 
vooraf gedefinieerd is aan de hand van 
een regelset. Zo kiin je bijvoorbeeld 
nagaaii of er in het geobserveerde 
gebied on bekende draadloze apparalcn 
aanwezig zijn en of er ongeoorloofde 
verbindingen bestaan lussen bekende en 
onbekende WLAN-clicnts access points. 
Daarnaast kan de hoeveelheid dataver- 
keer aangeven dat ergens een aanval 
uitgevoerd w<>rdt, 

Als het monitoringsysteem zulke ge- 
vaarlijke situaties opmerkt, geeft het een 
waan>chuwing en kan het tegenmaatre- 
gelen nejnen, Deze kunnen vaiieren van 
het afbreken van gevaarlijke draadloze 
verbindingen via dc ether tot het blokke- 
ren van ongeautoriseerde access points 
via het kabelnetwerk. Daaniaast kan het 
draadloze apparaten opspiiren door mid- 
del van triangulatie. Bij deze tcchniek 
vraagt de centrale server aan eUce sensor 
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de signaalslerkte op, waarmcc die het 
onbekende apparaat detecteert. Als je nii 
rond icdcrc sensor cen dcnkbeeldigc cir- 
kel trekt die zijn signaalbereik ai'dckl, 
dan bevindt het onbekende apparaat zich 
op dc snijiijnen van die dcnkbceldige 
cirkels (afbeelding 2). 

Er bestaat alledei gratis software puur 
vixw hci mooitoren van de ether op cen 
enkele computer, zeals Net Slum bier. 
Kismet en AirSnon. Voor onze test heb- 
ben we cchter spectfiek drie professio- 
ncle RF-monitoring'Systemen op dc 
pijnbank gelegd: Network Chemistry 
(KF Protect 3d ,7), AirMagnet (Enterpri¬ 
se 6.0) cn AirDefense (Enterprise 6.1). 
We hebben vei^^hillende aspecten beke- 
ken, waaioiider de architectLiur, de defi- 
nilie van regelsets en de mogelijkheden 
op het gebied van herkenning en afweer 
van gevaren. 

Qua prijs verschdien de apparaten 
aan/Jenlijk: de oplossing van RF Pro¬ 
tect, met een server en vijf sensoren, 
kost rotid de 4000 dollar (ongeveer 3200 
CLiro). Bij AirMagnet hetaa! je zo"n 
90(K) dollar (ongeveer 7200 euro) voor 
een seiver en vier seiisoren en bij Air- 
Defense Enterprise ben jc voor ecu ser¬ 
ver en vier sensoren rond de 15.000 dol¬ 
lar (ongeveer 11.900 euro) kwijt. Afwij- 
kingen in de prijzen kunnen overigens le 
maken hebben met verschillende toepas- 
singsmogelijkheden en kwantumkortin- 
gen. 

NetworkChemistry - RF 
Protect (3.17] 

RF Protect van Network Chemistry 
gebruikt sensoren die ze zelf ontwikkeld 
hebben cn die comm tin iceren met een 
centraie server die oiider Windows of 
Linux draait. De gebruiker krijgt toe- 
gang tot de server via een client-applica- 
tie. De sensoren hebben in vergelijking 
met die van AirDefense en AirMagnet 
cen icls grolcr bereik en krijgen bun 
stroom via Power over Ethernet (stan- 
daard 802.3af). De communieatie tussen 
sensoren cn server, respccticvclijk chent 
en server wordt helaas geregeld via wei- 
nig gangbare protocolleii zoais TZSP, 
ETL of Interbasc DB, zodat het onder 
bepaalde omstandigheden nodig is om 
firewallinstellingen aan te passen. 

In tegenslelling tot bij dc pnxluclcn 
van de eoncun*enten is het btj RF Pro¬ 
tect alleen mogelijk de ideale situatie 
van het WLAN globaal Ic bepalen door 
niiddei van policies, Deze regels schrjj- 
ven bijvoorbeeld het gebruik van WPA 
of van een VPN voor, of dellnicren 


we Ike WLAN-apparaten toegestaan 
zijn. Aangezien de gedefinieerde regel- 
set bij RF Protect altijd gcldt voor alle 
apparaten in het geobserveerde gebied is 
het niet mogelijk iiitzonderingsgevallen 
of spcciale rcgcis in tc stcllcn voor aF 
zonderlijke access pt>ints of WLAN- 
clients. Volgens de fabrikant worden 
deze feaiums opgenomcn in dc volgende 
versie van RF Protect. 

De belangrijkste functie van een RF- 
nionitoring-systeem, het ondubbclzinnig 
herkennen van gevaren in het WLAN, 
beheerst RF Piotect maar gedeeltelijk. 
Weliswaar werkt het betrouwbaar bij het 
opsptiren van ongeoorloofde apparaten 
en verbindingen, maar het systeem is 
niet altijd in staat complexere aanvallen 
te detccieicn. Zti genereerde het systeem 
tegen onze verwachting in geen eendui- 
dig event bij een de-authemication 
attack met de tot^l void 11 (www.wlscc. 
nct/voidl 1/), In plaats daarvan kregen 
we een berg onsamenhangende resulta- 
ten voorgeschoteld, die gecn directe link 
Icgden met de aanval. Dat betekent dus 
dat de systeembeheerder de afzonderljj- 
ke resultaten - voor zover mogelijk - 
zcIf logisch moet ordenen en goed meet 
zien te interpreteren om de eigenlijke 
aanval te kunnen herkennen. Een liinclie 
om deze resultaten op 'inlclligente’ 
manier te coinbineren zou dus geen 
overbodige luxe zijn. Pluspunt is dat de 
gevaren die lict systeem wcl hcrkcnL 
even-als de tegemnaatregelen, zeer iiit- 
voerig beschreven worden. 

RF Protect scoort ook punten dtxjrdat 
het alie draadloze apparaten in de geob- 
seiveerde omgeving weergeeft. Zo 
maakt hel goed inziehtelijk welke appa¬ 
raten het met welke signaalslerkte met 
welke sensor wanneer voor het eerst en 


voor het laatst herkend heeft. Eerder 
geregistreerde, maai- op het moment niet 
actievc apparaten kunnen natuurlijk ver- 
borgen worden. 

In tegenstelling tot de concurrentie 
biedt RF Protect maar een, verder wei- 
nig .subtiele maatregel tegen ongewenste 
draadloze apparaten: ze worden geblok- 
kcerd dtwr Denial-of-Servicc-technie- 
ken. Zo'n blokkade moet overigens 
handmatig geschieden, want RF Protect 
biedt geen optics i)m cen apparaat aulo- 
matisch te laten blokkeren op basis van 
een bepaalde event. Ook switchpooiten 
met daan)p aangcslotcn rogue-AP’s 
kunnen niet geblokkeerd worden. 
Bovendien kan RF Protect in tegenstel¬ 
ling tot AirDefense en AirMagnet de 
k.x:atie van apparaten niet opsporen, 

RF Protect slaat de vergaarde data op 
in rappt^rlen, beschikbaar in vcle forma- 
ten, maar helaas geheurt dat niet auto- 
matisch. Het gegevensverkeer van een 
enkele sensor kan geanaJyscerd worden 
met dc gratis tool Packetyzer, een vari¬ 
ant op Ethereal. Wat RF Protect dmi 
weer voorheeft op de concuirentie, is dat 
het systeem bij een bekende WEP-slcu- 
tel zelfs een ontsleutelde weergave 
beschikbaar stelt van WEP-gecodeerd 
gegevensverkeer. 

AirMagnet Distributed 
(5.0) 

Dit product, waarvan net na de test de 
nieuwe versie ^Enterprise 6.0“ uitkwam, 
gebruikt net als AiiLtefense sensoren die 
gebaseerd zijn op standaard access 
points van derden. In tegenstelling tot 
bt j AirDefense en RF Protect worden de 
data echter al op de sensoren zelf geeva- 



WLAhklient Rogue-occess point 


Ongeoorbofde access points en clients herkennen: de orchiteduur von een RF- 
monitoring-systeem [afbeelding 1], 
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lueerd, zodat de sensoren minder gege¬ 
vens hi)cven uil le wisselcn met de ser¬ 
ver. Het gevnar daarbij is wcl dat hcl 
systeein bepaiilde aanvalsstrategieen niet 
hcrkcnu umdat die allecn als zodanig te 
identitlceren zijn door de correlalie 
tussen de gegevens van mee of meer 
sensoren. De sensoren sturen hun infor- 
matie centraal naiir een server, die onder 
Windows draait. Net als bij RF Protect 
is dc iDcgang tol dc server geregeld via 
een client'applicatie. De eommunieatic 
tussen de sensoren en de server, respec- 
licvelijk cliejit en server gebeurt versleu- 
teld, via TCP-pt)ort 443. Hierdoor kan 
AirMagnet Enterprise in de meeste pro- 
duciieomgevingen ook communiceren 
zondcr dal nrcwalls aangepasl hoeven te 
worden, 

De weergave v^in de ideale WLAN“ 
situatie is bij AirMagnet veel gedetail- 
leerder in te srellen dan bij RF Pix)tect. 
Policies zijn sainengevat in regelsets 
voor een sensor of een groep van sense- 
ten. Afzonderlijke regels worden gede- 
finieerd per SSID, maar niet voor 
afzonderlijke WLAN-apparaten. Je kant 
alleen globaal instellen of ad-hoc-ver- 
bindingen geoorloofd zijn of niet. 

Airmagnet herkent bedreigingen 
beter dan RF Protect. Rcsiiicalen die in 
eeste instantie onsamenhangend lijken. 


worden verzameid en logisch geordend. 
Bovendien gaal ieder event vergezeld 
van cen gcdctailleerdc uitleg en worden 
mogelijke tegenmaatregelen voorge- 
steld. B&n sterk punt van AirMagnet is 
dat het parameters herkent die van vitaal 
belang zijn voor de werking van een 
WLAN, die bovendien waardevolle in- 
formatie bevalten voor de oplossing van 
technische problemen. Daarbij moet 
overigens wel opgemerkt worden dat 
AirMagnct sommige bedreigendc events 
uif onze test verkeerd interpreteerde of 
helemaal niet herkende. Bovendien ge- 
nereerde het systeein events voor 
Wl..AN-apparaten die genegeerd hadden 
moeten worden. 

Dc weergave van alle actieve 
WLAN-apparaten is weliswaar over- 
zichtelijk, maar niet altijd correct. Soms 
werden gedeactiveerde WLAN-clients 
door het systeem als actief weergege- 
ven. Bovendien geeft AirMagnet niet 
aan wannecr een sensor het apparaal 
v(x>r het eersi en voor hcl laatst geidenti- 
ficeerd heeft. 

Net als AirDefense stelt AirMagneL 
een grt>ot aantal afweermaatregelen ter 
beschikking. Je kunt ongewenste draad- 
lozc apparaten lateo blokkeren en 
switchpoorten van het nelwerk afscher- 
inen tegen rogue-AP's; bij bepaalde 
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Om indringers op te sporen wordt 
gebruik gemoakt von triangulatre, 
woarbij de slgnoabterktes von drie 
sensors geonolyseerd worden 
(ofbeeldmg 2). 


Gebouw A - Eersle verdieping 
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events kan dit ofwel handmatig of auU)- 
matisch geregeld worden. De gemakke- 
lijk te bedienen triangulatietool, die 
gebruikt wordt om WLAN-apparaten te 
delcctcren, laal de kx^atic van onbeken- 
de apparaten tot op enkele meters nauw- 
keiirig zien. 

Verder kunnen net als bij RF Prolcct 
rapporten over de vergaarde data in 
verschillende fomiaten gegenereerd 
worden, maar ook hier kan dat niet aulo- 
matisch. AirMagnet heeft van alle test- 
kandidaten het meest evenwichtige 
gebruikersbeheer, waarmee onder ande- 
re cen integratic in ActiveDireetory of 
LDAP mogelijk is. 


AirDefense Enterprise 

( 6 . 1 ) 


0<.)k AirDefense heeft net na onze 
test een iiieuwe versie geintroduceerd 
(7.0). Wij hebbeii gebruik gemaakt van 
versie 6.1. 

De server van AirDefense Enterprise 
loopt op een beveiligde Linux-appliaii- 
ce, dc sensorhardwarc kornt overeen 
met die van de AirMagnet. In tegenstel- 
ling tot AirMagnet voert het AirDefen- 
se-systeem geen berekeningen uil op de 
sensoren zelf, maar comprimeert het de 
gegevens en stuurt ze door naar de 
server. Een ander noemenswaardigc fea¬ 
ture is de nauwe samenwerking met 
Cisco-hardware: bepaalde Cisco-AP's 
zijn als AirDelense-sensoren (zonder 
access point-functie) in te zetten. 

Om gevaar op tijd te onderkennen, 
wordl de correlatie lussen dc sensorge- 
gevens op de server berekend. De 
beheerder krijgt toegang tot de server 
via cen Java-applet. Net als bij AirMag- 
net verstuurt ook AirDefense de com- 
municatie tussen sensoren en server en 
tussen browser en client versleuteld over 
TCP-p(Xirt 443 (HITPS), 

Policies kunnen zeergedetailleerd in- 
gestcld worden. Regelsets kunnen voor 
ieder access point al'zonderlijk vastge- 
legd worden en ze bepalen ook welke 
WLAN-clients verbinding mogeii 
maken met welke access poinLs. Een uit- 
zondering op de regel: ad-hoc-verbin- 
dingen kunnen niel per afzonderlijk 
Wt^AN-apparaat, maar allecn per 
WLAN-kanaal toegestaan of verbcxlen 
warden. _ 

AirDefense bleek van de dric produc- 
ten het best in staat WT.AN-gevaren te 
herkennen. Begin en einde van een 
event werden duidclijk aangegeven. De 
andere kandidaten scoorden verbazing- 
wekkend laag op dit in feite triviale on- 
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derdeeL E>e weergave van de events wordt nog nauw- 
keuriger doordat de gebruiker dc data ni)g kan filtcmn 
op een gnxil aantal criteria. Ook de precie^e besclirij- 
vingen van de events cn de mogelijke afweennechanis- 
rnen verdienen lof. 

DesalnieUcmin kende de A i ['Defense een zwak punt: 
hij herkende tijdcns onze test weliswaai' dat een coegela- 
leii WLAN-client zich ongecH>rl<K>rd in dc addioc- 
moduK bevond, niacir liij gaf Jiiet aan dat een niet toege- 
laten WLAN-appaiaat een ad-hoc-verbinding had opge- 
zet met deze client. Net als bij AirMagnct onlbrccki mk 
hierde weergave vaj^ liet eerste en laatste herkennings- 
tijdstip van dc aetieve apparaten. Maar in bet algemeen 
is de weergave overztchtelijk ic nocmen en kuJi je zelfs 
‘snapsliots' bckijkeii van eerdere WLAN-situaties. 

AirDcfcnse biedt ook de optie oni wireless- of 
switchpoc’>rten handmatig of automalisch tc blokkcren, 
Bij bet opsporen van onhekende apparaten dcM>r middel 
van Lriangulatie niaakt AirDefense in onze testversie 6.1 
gebruik van cen third-party-tool van Bkahau (www.cka- 
haiLCOin). Toekomstige versies zijn volgens dc Inbri- 
kanl voorzien van een eigen tool. 

In vcrgelljking met dc concurrenlie gaai AirDefense 
beter om ["net het genereren van reports. HiK:wcl zc 
alleen in HTML- of CSV-formaat beschikbairr zijn, 
kunnen ze wcl lijdgcstuurd cn aulomatisch gcgenercerd 
en vervolgens per e-mail verstunrd worden. hbulieve 
configiiraties op de access points worden herkend door 
het programrna AirDefense Fei'sonal, dal cenlraal 
geconfigureerd en over WLAN-eindapparalcn vcrdccld 
wordt. Het legt o.a. SSID's vast. 

Conclusie 

De beschreven RF-monitoring-systcTncn bicdcn be- 
dri jfsoplossingen waamiee nteuwe WI.AN-bcdrcigin- 
gen bet hoofd geboden kunnen worden. Ze brengen de 
ongccontrolccrdc dmadloze wcrcld ondcr conlrole dtxir 
gevai'cn op tijd te onderkennen en de passende maatre- 
gelen te nemeji. Welk van de ge teste appai'atcn iiitein- 
deiijk als winnaar nit dc bus komt, hangt sterk af van 
het beoogde gebruik en het beschikhare budget. 

Network Cheniistjy's RF Protect is een goede opios- 
sing vtx)r het MKB. HcL syslcem bee ft het nadeel dal 
regel sets alleen globaai gedennkerd kunnen worden, 
dat dc lierkenning van bedreigingen enkele zwakke 
plekken vertcxjnt en dal de magelijke tegenmaatregelen 
beperkt zijn. 

Het RF-monttoring-systeem van AirMagnet zit qua 
prijs iLissen AirDefense en RI" Protect. Hier is het sterke 
punt dal het systeem kritieke WLAN-pc tfomiunce-pa¬ 
rameters herkent, die waardevolle infomiatie kunnen 
opleveren bij technische probleinen. 

AirDefense heefl dc tx;sl ontwikkclde, maar ook de 
duurste opiossing. Vooral de gedetailleerde regelsetdefi- 
nities en de iiitstekende herkenning van beveiligingskri- 
lische evcnls springen in het oog. 

STEFFEN TROSCHER 

werkl als consulfanf bij Cirosec in Heilbronn, Dntlslond, 


iX 2/2tX)6 



with us you can! 



Standaard bruto capadt^k: HOGB 
flaximale bruto capaciteit: llTB 



w 

10 

il¬ 


ls 

■ m 

IS 

- : 

m 


u 


Rackserver Accelerate A10 

Ved rekenkracht voor vweinsg geld, ill Rackmount' 
behuizing mduskf sliders (Rackmouni Ready) Support AMD Athlon 64/X2/FX 
U beefr a I een cornplete configuratie voor EUR 600 


OUT OF THE BOX 

Rackserver Enterprise iSCSI SAK 32524 
(Storage Area Network) 


SU Racknujunt behuizing indusief stidingraib 
24 X SATA houwap hdd trays 
BSflWatt redundant powersupply (3+1) 

2 K Intel Gbit NK's (jumbo Crame support) 




eRIC II 

Be beer uw systeem op abtand met de vceliijdige eRIC II kaart van Peppercon. 
Naasi KVM over IP kunt u uw systeem soft- en hardware matig aan en ult zetten. 
Met de virtuele floppy disk en usb emulatie is een BIOS update ot het starten 
van een spoedersend hesturingssysteem ^ op afstand kinderspet De eRIC II 
besebikt over een eigen video kaart AMv en kan via de 5V voedingstngang 
extern voorzien worden van spanning, Dit is nodtg 

om de eRIC II te ^^Sub^naderen aU uw syteem ?een 
spanning meer levert 


Prijs EUR 419,- 

Alleen in comblnatie 


rackserver www.rackserver.nl 











REPORTAGE 


Linux-veiligheid 


TPM-chips gebruiken onder Linux 

Sleutelservice 


amaast houdt een TPM-chip nog voT 
doende fiiei-vluchlig geheugen over 
voor s! cute Is en gegevens voor dc 
eigen werking alsmedc voldoende 
vkichlig geheugen voor verdere keys 
en hashes . 



Tobias Hunger 

Inmiddels inlegreren 
veel 

computerproducenten 
de Trusted Platform 
Module (TPM) in hun 
hardware. De kleine 
chip moet virussen en 
hackers buiten de 
deur houden 


en computers 
betrouwbaar maken voor 
zowel de gebruiker als 
content providers. Sinds 
versie 2.6.1 2 beschikt d 
Linux-kernel over drivers 
TPM. Blijft de vroag welke von 


Ondersteunende ondcrdclcn 
zoals een generator voor 
willekeurige getalleii, een 
I/O-eenheid voor dc 
commuriicalic met het 
sysicem en een opNin- 
eenheid waarmee liei ge- 
bruik van de TPM voile- 
dig kan worden uitge- 
schakeld, behoren tot de 
mogelijk-heden. 

Omdal TPM’s niet al- 
leen grote computers, maar 
ook inobiete apparatuur 
veiligcr mucten maken, 
moeten ze goedkoop 
en zuinig met energie 
zijn. Snelheid is gecn 
duel van de ontwtk- 
kelaars: de chip is 
“ anders dan bij- 
voorbeeld VlA's 
Padlock - geeii 
cryptovcrsncller. 
A lie cryptografi- 
sche bewerkin- 
gen zijn in dc 
TPM-chip dui- 
delijk langzainer 
dan op de epu van 
het systeem. Bij 
tests versleutelde de 
CPU 1 MB aan gege- 
vens in dertien seconden, 
terwiji de TPM de gege- 
vens pas na meer dan een uur 
wcer gcdecodecrd kon tcrugle- 
veren. Een TPM is dus geschik- 
ter als bescherming van sleutels 
voor applicaties, die dc CPU gebrui¬ 
ken voor her coderen van gegevens, 
dan als zelfstandig werkende encryp- 
tie-unit voor grote hoevcclheden ge- 
gevens. 


Vertrouwen is goed, 
controle is beter 


In principe is alicen dc TP-module 
zelf (en - om kosten tc besparen - 
dclcn van het BIOS) cen Trusted' 
unit, Alle onderdelcn van het omrin- 
gende systeem en de geTnstalleerde 
software zijn niet belrouwbaar. 


de beloften overeind blijven 
onder bet gratis 
besturingssysteem. 


O verde Trusted Platform Module 
doen veel geruchten en halve 
waarheden dc ronde. Vaak 
word! de chip zetf verward met de 
daarop gebaseerde softwareconstruc- 
ties. Dc 'fPM-chip (als veilighcidskri- 
Lisch onderdeel) werd door de ont- 
wikkelaars uit de Trusted Computing 
Group (TCG) zo eenvoudig mogelijk 
gehouden, Anders dan wal vaak 


wordt beweerd, is 
het een puur pas- 
sieve een held en 
kan deze dus 
nooit de con- 
iroie over een 
computer over- 
ncmcn. Na de in¬ 


itial isatic wacht 
hij op exteine commando’s, voerl 
deze uil cn gee ft de resuitaten terug, 
De TCG ontwierp de module als be¬ 
scherming legeti netwerkgcbascerde 
sortwarcaanvallcn. Daarom werd de 
chip niet beschermd tegen directe 
aanvallen op de hardware. In legcn- 
siciling lot wal vaak wordl beweerd, 
kun je er dus geen vastberaden gege- 
vensdieven mee tegeiihoudcn die fy- 
sickc loegang lot hcl systeem hehben, 
Het biedt dus geen goede ondersteu- 
ning voor een ‘Digital Restriction 
Management System’. 

Naast het berekenen van SHAI- 
hashwaarden en het gcncrcren van 
RSA-sIcutclparcn biedt dc module een 
eenheid vtior het (de)coderen van ge- 
gevens volgens de RS A-standaard, Da- 
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Bij het opstarten vun hel systccm 
initiaiiseert een TPM’Compatibel 
BIOS ecm de chip en begint dan me- 
teen met het ‘doormeten* van bclang- 
rijkc delen van het systeenu Het geeft 
belangrijkc gegevensgebieden zoals 
NVRAM, BIOS ROM en dc bootsec- 
tor door aan de TPM die daaruil 
SHAl-hashwaarden genereert. Om 
deze waarden vast le Icggen bicdt de 
TPM zogenaanide Platform Configu¬ 
ration Registers (PCR) aan. Dat zijn 
geheugengehieden die alieen via spC“ 
ciale commando’s 

gevuld kiilinen worden en die niet 
teruggezel kunnen worden zolang de 
computer aan staat. 

Bij Trusted Computing geldt het 
principe dat het sysieem geen code 
start die niet eerst door cen hash-waar- 
de als betrouwbaar is bestempeld. 
Hierdoor ontstaat een verirouwensrela- 
tie (chain of trust), die gebaseerd is op 
de hardware van de TPM. Hierdoor is 
dc hardware beschermd tegen manipu- 
laties op afstand. Hel BIOS checkt de 
bootloaders voordat het de controlc 
aan hen overgeeft, de bootloaders 
checken vervolgens de kernel voordat 
ze deze stanen et cetera. 

Dit checken van gegevens en pro- 
gramma’s via hash-waarden kan uiter- 
aard geen program meerfouten blooL- 
leggen. De procedure timmert geen 
veiligheidsgaten dicht, niaar herkent 
slechts verandcringen zoals die bij- 
voorbeeld ontstaan door virussen of 
bij de installatie van rootkits* Hackers 
kunnen dus nog steeds binnendringen 
via veiligheidsgaten, maar het sys- 
teeni maakt het ze nioeilijker om hun 
aanwezigheid verborgen te houden. 
Het is hierdoor nog steeds noodz.ake- 
iijk om de software van het systeem 
‘up to date’ te houden. 


J?-TRACT 

• Linjx bevat in de kernel 
sinds versie 2.6.12 drivers 
voor TPM-chips die in de 
hordware zijn tngebouwd. 

• Een betrouwbaar platform 
volgens de TCG-specificotles 
is onder Linux momenteel 
nog niet te realiseren. 

• Ontwikkeloors kunnen 
vandoog ol met de TCG Soft¬ 
ware Stock onder Linux expe- 
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De afionderlijke onderdelen van een TPM-chip communiceren via een 
gezamenlijke l/O-irtlerface met de rest van het systeem (afb. I) 


TPM als centraal 
sleutelarchief 

Bij de productie genereert de fabri- 
kanl in elke TPM een RSA“Sleutel- 
paar van 204B bil. Deze zogenaamdc 
Endorsement Key wordt in het niet- 
vluchtige geheugen van de module 
geplaatsL Deze geheime sleulel kan 
niet worden uitgelezen. 

Een beheerder kan na de aanschaf 
van een computer met een 1PM het 
eigendom opeiseti over dc module 
(Taking Ownership), Iliervoor gene¬ 
reert hij dot)r hcL ingeven van een 
wachtwoord (of nauwkeuriger: de 
SHAl-hashwaarde ervan) een tweede 
RSA“Slciitcipaar, dc zogenaamde Sto¬ 
rage Root Key (SRK). Verdcrc sleu- 
telparen ktin je vervolgens naar eigen 
bchocftc gcnercren. Bij het genereren 
van de slcu tcls moct jc tel kens cen 
bestaand sleutelpaar opgeven waar- 
mee de TPM de nieuwe key versleu- 
tclt als deze dc module moct verlalen. 
In het begin is deze sleutel de SRK, 
er bestaan immers nog geen andere 
slcutcls. 

Met uitzondering van de Endorse¬ 
ment en de Storage Root Key belan- 


den alle slcutcls in hel vluchtige ge¬ 
heugen van de TPM. Aangezten dit 
geheugen beperkt is, kuii je sleutels 
van hieruil met speciale commando’s 
uitlezcn. Hicrbij maakt de TPM zoge¬ 
naamde ‘Key Blobs’ aan, waarin de 
sleutels in gecodeerde vorm liggen 
opgeslagen. Deze Key Blobs kun je 
zonder problemen op onbeschermde 
media opslaan, ze zijn Immers ver- 
sleuteld. Ook dc Storage Root Key 
zou in theorie op de harde schijf op- 
geslagen kunnen worden, want ook 
deze is immers door de Endorsement 
Key beschermd - en het geheime deel 
daarvan kan niet uit de TPM iiitgele- 
zen worden. 

Wanneer dat nodig is kan de ge- 
bruikerde Key Rfobs dan terugsehrij- 
ven naar de module waaruit ze geex- 
traheerd zijn, Andere modules kun¬ 
nen de Blobs niet inlezen: de SRK en 
indirect dus ook alle andere sleutels 
kun je alleen ontsleutelen met de pas- 
sende Endorsement Key. Aangezien 
elke TP-module over een eigen 
Endorsement Key beschikt, zicn 
andere chips aileen maar zinloze 
bil-reekseii in de Key Blobs, Aange- 
zien de TPM vast op het moederbord 
gesoldeerd is, zijn bij een defect moe- 
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derbord alle Kleutels cti dus ook alle 
met de TPM gecodeerde gegevens 
onleesbaar, Dat is ook het geval als je 
de sleulcls als Key Blobs op de barde 
schijf hebt opgcslagcn. 

Sleuteloverdracht 

In principc kan dc gcbruiker keys 
naar andere TP-modules doorgeven. 
Dit ‘migreren' rnoet echter reeds bij 
de fabricage expliciel wordcn locge- 
sluan. Hiervoor nioet de gebruiker 
een wachtwoord opgeven; de TPM 
bcveiligl de sleutel met dc hash van 
het wachtwoord, Alleen als je dit 
wachtwoord opgeeft, geeft de chip 
deze migrcerbare sleulcl later vrij, 
Omdal geheimc sleulels de TPM in 
principc alleen in gecodeerde vorm 
verlateiK heb je vt>or de migratie nog 
een publieke sleutel van de ontvan- 
gende TPM nodig- Uit deze gegevens 
maakt de TPM een speciale Key Blob 
(‘Migration Blob*) die de gegenereer- 
de publieke sleutels beschermt* Hier- 
mee kan de TPM die een Migration 
Blob aanmaakl deze niet meer lezen* 
Dat kan alleen de ontvangende TPM 


die de bijbehorende geheime sleutel 
kent. 

Bij de ecrstvolgende import naar 
de nieuwe TPM test deze eerst de ge- 
migreerde sleutel: in het ideale geval 
moel het met het sleutel paar een wil- 
Ickeurig getal coderen en vervolgens 
decoderen. Deze procedure moel 
voorkomen dat willekcurige gegevens 
als sleutel in de TPM belanden eii 
Known-Plaintext-aanvallen op andere 
keys of het binneiismokkclen van 
zwakke keys moeilijk maken. 

Pas na deze check registreert de 
TPM dc migraliekandidaal en slaat 
hem in dc chip op. Hiermee kan de 
key dan ook weer ge^xporteerd wor- 
den als normalc Key Blob. De code- 
ring gebeurt met dezelfde sleutel die 
ook al bij de migratie voor dit doei 
werd gebruikl. 

Ondertekenen, binden 
en verzegelen 

Met een sleiitelpaar kan de gebrui¬ 
ker gegevens onderlckcnen (signing). 
Net als bij op software gebaseerde 
procedures kan signeren iiantonen dat 
iiel genoemde gegeven echl is cn dat 
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Trusted Plorform Module tT?Ml 


De TCG Software Stack is onderverdeeld in drie afzonderlijke layers die door 
drie gedefinieerde interfaces worden gescheiden 


cr nict mcc gcrommeld is, Bovendien 
kun je gegevens natuurlijk ook ver- 
sleutelen. De TCG-specificaUe duidt 
het versleutclcn aan als binden (bin¬ 
ding) omdal het gegevens aan een be- 
paalde TP-mod ule bindl. Normal iter 
beschikt immers alleen deze ene 
TPM over de geschikte geheime sleu¬ 
tels om de gegevens weer Icesbaar le 
maken (uitzondering: een gemigreer- 
de sleutel). 

Een verdergaande optie is het ver¬ 
zegelen (sealing) van gegevens. Net 
als bij vcrsleuteling bindt het gege¬ 
vens aan een sleutel. Bovendien ver- 
bindt de TPM de sleutel met de waar- 
den van 66n of mcerdere Platform 
Configuration Registers (PCR), De 
gegevens worden dus niet aan een 
TPM, maar ook aan een bepaalde 
systeemconflguratie gebonden en 
ktinnen dus alleen met een zelfde 
configuratie worden gclezcn. 

Via sealing kun je het bootproces 
verder beschermen. Hiervoor verze- 
gel je belangrijke systeenumdcrdelen 
met Pf'R’s, zodat je zc alleen nog in 
betrouwbare (of beter: bekende) sys- 
Teemconfiguraties kunl uillezen. 

Betrouwbare pinguin 

Systemen met een TPM-chip wor- 
den door de fabrikant mecsial ook 
uilgclevcrd met een BIOS dat voldoet 
aan de eisen van Trusted Computing. 
Gratis BlOS^implemenlaties onder- 
stcunen TPM cchier nog niet, waar- 
door ze dus ook niet gebruikt kunnen 
worden als basis voor een betrouw- 
baar syslecm zoals die zijii vaslge- 
iegd dt>or de Trusted Computing 
Group. 

Voor Grub bestaan patches waar- 
mee het /.ijn eigen sia^^es voor het 
laden aan dc hand van de hash-waar- 
den op veranderingcti kan controle- 
ren. Ook dc te btHiten kernel (en an¬ 
dere bestanden) kan de bootloader 
conirolcren voor ze te siarten. Hier- 
mec kun je dc chain of trust van de 
TPM-ehip via het BIOS verlengen tot 
aan de Li mix-kernel. 

Sinds kemelversie 2.6.12 onder- 
steunt de ‘vanilla* Liniixkernel TP- 
modules, In versic 2.6.13 breidden de 
ontwikkelaars dc lijsl van dc onder-_ 
steunde hardware uit en verbeterden 
ze de chipherkenning. Hiermee kan 
dc hardware ondcr Linux in principc 
worden gebruikt. Tot nii toe vormde 
de kernel echter het etnde van de ver- 
irouwen.sketen: de kernel ken I nog 
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geen op TPM gebaseerdc controleme- 
chanisnieii die de integritcit van pro- 
gramma’s garandereth 

Er word echtcr al gcwcrki aaii een 
verdere iiuegratie van TPM in dc ker¬ 
nel. IBM hccfl hiervoor bijvoorbeeld 
met zijn Integrity Measurement Ar¬ 
chitecture (IMA) een Unux-Sccurily- 
modulc (LSM) gepresenteerd* Deze 
behcert cen Hjsl met alle door de ker¬ 
nel gel a den modules, programrna’s 
en biblioiheken, met inbegrip van de 
hash waarden en niaakt deze - door de 
TPM gesigneerd - beschikbaar under 
lproL\ De onrwikkelaars hebben bo- 
vendien cen daemon geschreven die 
deze lijst op het network zcl, Manipu- 
laties van deze lijst kun je voorkomen 
door de liaiidtekening te checken. Een 
met de request mecgclcverd willekeu^ 
rig getal, dat in bet gesigneerde ant- 
woord aanwezig nioet zijn, verhindert 
replay-aanvalicn. Met IMA kunnen 
beheerders checken dat alleen toegc- 
slane software op hun computers 
draait. Ook zijn zo servers te realise- 
ren die alleen clients toelaten die aks 
betrouwbaar herkend worden. 

De IMA-ontwikkelaars liggen op 
dc LinuxkcmcbmaiiinglisL niet alleen 
onder vuur vanwege hun code en het 
oneigenlijke gebruik van de LSM, die 
in principc uilsluitend bestemd is 
voor toegangscontrole. Ook hcl nut 
van hull voorstel werd bekritiscerd: 
dit /(>□ nict ver gcnocg gaan. Voor 
een zinvol overzicht over dc veilig- 
heidssituatie van een systeem moeren 
ook veranderingen in de configuratie 
ontdekt kunnen worden. Bovendien 
zou IMA scripts negeren en zouden 
alleen dc interpreters in de lijst van 
applicaties te vtndcn zijn. Dc auteurs 
van IMA stelden hierop een uitbrei- 
ding voor zodal deze de scripts of be- 
langrijke gegevens zclfstandig con- 
troleren. Andere ontwikkelaars vin- 
den een zo verregaaiide ingreep in 
applicalies nict prakltsch, ook omdat 
IMA aanvallen niet moeilijker maakt, 
maar slechls bet ontdekken van ver¬ 
anderingen en bekende zwakke pun- 
ten eenvoudiger maakt. Tools zoals 
Tripwire doen dat overigens ook. 

Er zijn ook andere loepassitigen 


van TPM in de Linux-kernel moge- 
lijk. Zo kun je de Extended Security 
Labels die SELinux op de harde 
schijf plaatst met TPM tegen veran- 
deringen bcschernien of het plaatsen 
van rootkilK via kcmelniodules moei¬ 
lijker maken door alle modules te sig- 
neren. Bij alle voorstellen oni Trus¬ 
ted-Computing-idcecn in de kernel 
toe te passen, klinkt echter in de dis- 
cussie - tiaasl de technische aspecten 
- ook allijd een zckere vrees door. 
Sommige ontwikkelaars beschouwen 
Trusted Computing als de teloorgang 
van de CNU Public License. Welk 
nut heeft vrije software nog als dc 
producent de gebruiker alle, in de li- 
centie toegestane, veranderingsopties 
aan zijn systeem via technische mid- 
delen kan afnemeii? 

Een andere hitidernis bij gebruik 
van TPM in de kernel /Jjn cnkclc 
TCG-standaarden, Deze schrijven na¬ 
me I ijk voor dal deze chip alleen 
benaderd kan worden via dc fCG 
Software Stack (TSS) vanuit de ge- 
bruikersomgeving. Ingrijpen in de 
kernel door de module is dus in be- 
ginsel tegenstrijdig met de standaar- 
den, Het is echter de vraag of deze 
CIS indnik maakt op dc kerne lout wik- 
kelaars* 

Veilig(er) ondanks 
vertrouwensveriies 

Momcntcel cindigt dc chain of 
trust in de kernel. Voor veel applica- 
Lies is dit echter iiiei erg; zij willen de 
TPM alleen gebruikcn als een soort 
permanent gemstalleerde smartcard 
om hun eigen keys beicr te bescher- 
men. 

De Trusted Computing Group 
heeft hiervoor de TCG Software 
Stack gespecincccrd. Het project 
TrouSerS probeert deze op basis van 
Linux te realiseren en biedt momen- 
tcel versie 0.23. De basisfuncties zijn 
er al en je kunt ze uilvoeren via de 
APPs die zijn gedefinieerd door de 
Trusted Computing Group. Met TPM 
Tools, die in hetzelfdc project zijn 
ontwikkeld, kun je de functies van 


TroUvSerS bovendien (nog iiicom- 
pleet) in .scripts gebruiken. 

TrouSerS be vat behalve de biblio- 
ihekcn van dc TCG Software Stack 
een RPC-daemon waarmce dc func- 
ties, die door de TCG Core Service 
bc.sehikbaar worden gemaakt, via het 
netwerk gebruik I kunnen worden. In 
de basisinstelling is deze toegang 
echter uitgcschakcld. 

Het is door een service als deze, of 
een vergelijkbare service die door de 
IMA-ontwikkelaars wordt gebruikt, 
dat de TPM-chip zijn ware kracht 
toont. Iliermee kun je systemen via 
hcl net cenduidig idenlinceren en de 
configuratie (beter: de Platform Con¬ 
figuration Register) controleren. Dit 
word! ook wel Remote Attestation 
genoemd. 

Juist voor deze toepassingen maakt 
de rP-iTuxIule zelfs een speciaal soort 
sleutels, dc zogenaamde Attestation 
Identity Keys. Hiervan kun je er net 
zovccl aan maken als je wilt. Elk van 
deze sleutels, die door ecu Certifica¬ 
tion Authority (CA) worden uitge- 
reikt, staat voor een eigen, eenciuidig 
bewijsbarc, idcnliteil. Deze bewijst 
dat er een betrouwbare TPM-chip in 
het systeem is ingebouwd, die ge- 
bruikL kan wordcii voor de communt- 
catie met het .systeem. Een gebruiker 
kan hierdoor verschillende identitei- 
len gebruiken voor verschillende 
taken en toch hewijzcn dat hij cen 
platform gebruikt waarover TPM-bc- 
schermd gecumniuniceerd wordt. 
Zondcr Attestation Keys zou je de 
Endorsement Key bij een CA mocten 
registreren waardoor gebruikers en 
systemen onlosmakelijk met elkaar 
worden verbonden. 

Conclusie 

Momcntcel bcslaat er onder Linux 
nog geen ‘betrouwbaar’ platform vol- 
geiis de specificaties van de Trusted 
Computing Group. Vooral in kernel- 
space zijn er nog talrijke discu.ssies le 
voeren voordat de vertrouwensketen 
van dc 'rP-tnodule doorgetrokken 
wordt tot aan de gebruikersomgeving. 
Ontwikkelaars kunnen nu echter al 
wel experimenteren met de TCG 
Software Struck, ook al i.s dc imple- 
mentatie van TrouSerS nog niet vol- 
Icdig. Eindgebruikers kunnen de dri¬ 
ver voor bun TPM in de kernel laden 
en het gevoel van de veilighcid erva- 
ren. Applicalies die de chip echt ge¬ 
bruiken zijn cr echter nog niet. 
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Python-IDE's - een overzicht 

Codefabrieken 


IPythun^ die door Icden van de com¬ 
munity gemaakl en constant geiipdatet 
worden. Anderzijds zijn cr de profes^ 
sioncic produeleti ais Wing IDE en 
KottmxIo, die je als Python^evelopcr 
alleen tegen betaling kan krijgcn, Maiir 
daarvoor krijg je dan wel meer func- 
tionaliteit, evenals support. 

Voordat we de tools V(K)r je op cen 
rijtje zcUcn, zullen we eerst nog 
een blik werpen op de stand aard- 
tools van Python. De editor 
IDLE is uilcrmate geschikt 
vcior kleine projecten. Hij bor- 
duurt voorl op Tkintcr (Py¬ 
thons ecnvoudigsle GUI-pak- 
ket), is gemakkelijk te 
conftgureren en intuitief te 
bedienen via de gebniikers- 
interfaee. IDLE beschikt 
over een debugger en heeft 
syntax highlighting. Met de 
[['5 )“UicLs kt>rn je in de inter- 
aetieve interpreter, die deel nit- 
maakl van de editor. Onder 
Linux rocp jc met het commando 
idle op de console (hier als achter- 
groiidproces) de editor op. Uitzonde- 
ring liie!X)p voirnt Suse, want in dc Py- 
Lhon-distributie van deze Linux-variant 
ontbreekt IDLE. Als je Windows ge- 
bruikt, kun jc dc editor opstarten via 
Starl/Programma's/Python2.4, Mac-ge- 
bruikers moeten eraan denken de GUl- 
bibliotlicek 1'kintcr Ic inslalleren (zic 
www.astro.washingfon.edu/owen/Py- 
thonOnMacOSX.html) 


Thomas Kaufmann 

Pyfhon is een krachtige 
programmeertaal, maar de 
standaard meegeleverde 
ontwikkeiomgeving IDLE 
doet nogal Spartaans aon. 
Gelukkig bestaon er diverse 
uitgebreidere vrije en 
commerciele tools. iX loot 
in een notendop zien welke 
extra functionoliteit die 
bieden. 


P ython h allang geen kleine taal 
meer. Het is bijvoorbceld dc 
huistaal van Google en het be- 
lang ervan blijkt ook uit het grote aan- 
tal programmeeromgevingen dat voor 
deze efficicnie, objeclgeorientecrdc 
scripltaal ontworpen is. In dil artikel 
geven we een overzicht van de be- 
schikbare tools en gaan we na in welk 
opzichi deze tools dc funct tonal iteit 
van de standaarddistributie oveitreffen. 

De beschikbare Python-ontwikkel- 
tm^Is draaicn stabiel onder Windows, 
Linux, Unix en onder Mac OS X vanaf 
10.3. In de Python-wiki is een uitge- 
breid ovcrziehl te vinden, onderver- 
deeld naar platform (zie bet kader 'On¬ 
line bronnen'}. De IDE's kunnen in 
twee catcgoricen onderverdccld wor¬ 
den. Enerzijds zijn er de gratis tools, 
zoals Eric, Python win, Pycrust en 


XEmacs 

Linux-gebruikers kunnen het snelst 
uit de voeten met Python: de taal 
wordt bij de meestc distributies slan- 


Jl-TRACT 

• De standaarddistributie von de 
scripttaol Python bevat een 
Interpreter en een configureer- 
bare editor met grafische inter¬ 
face. Voor kleinere projecten Is 
daf voldoende, 

• Bij grotere projecten kunnen 
Python-ontwEkkeloars a I snel 
profiteren van features die 
IDE's bieden, Er zijn diverse 
gratis tools beschikbaac zoals 
plug'ins voor Eclipse^ maar ook 
commerciele producten van 
verschillende bedrljven. 
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. py |/uir/t3wp/pvthQn-4JC tfyH,pY l 
g. .^rairanonift . “: ... /.\.,...;. ,.. 


It 


if 1 CAW input r\n r.. enter > 
If print '^n", aetASC^I^i^, ‘\n' 
If CQ« ^ 9«t£ntity('fvlig') 

It print rev 


C " ChnrecterU 
print C 






i " Iftputc* -tlLii i'M S .lOmbc : 

print C■ tASCIIClnai 11 ] 
print 

print " I* Tm C.qetHe^tl'oDflc ("r ? "J t FF ■ 255 

UTF fl- - L77 CO ^3% oharerti pv [.^-an/c nypythen /webtool) P l^^yihon K. 

Pyltfion 2*4 (#1. M«r 22 ZodS, 21:12:42) 

{OCC ^^^,5 200501,11 iprcfr^ltiAue) (stisc Linux)) on linur2 

Type ’'help*, 'cppyrlght*^ *oredlte* oe "licence'' for more information. 

>» import cliiimt 
»> dir (choree t) 

i'Char no ter ’ ^ * _ bull tins '_(foe_*_file_\ ' naBie^*^ *getASCri*, '^etEnti ty ’ 

'htmlentltydinf, 'ntrln^i "&ya’l 
»> 


-6 0 ^ ^ 


* 2 


In de Python-mode von XEmocs ktin je 
tegelijk in sources en in de interpreter 
werken 


Rapid Application Development 
(RAD)-taal, 


§1 Eric3 




daard geYnstalleerd, en met XEmacs en 
vim hcbbcn zc bovendien krachtige 
editors met een Python-modus ter 
bcschikking, XEmacs-gehruikers kon- 
ncn talen als C, Java of Python in 
deze mticius parallel be werken. Voor 
Python-ontwikkelaars is dal van be- 
lang omdat C en Java een grote rol 
spelen bij Python (C voor de uitbrei- 
dingen van Python, Java voor Jython). 
XEmacs biedt twee nieuwe menu- 
items extra aan ('PylhoiV en 'IM- 
Python'), als de tcKil een bcstand laadl 
dat op ,py eiiidigt. Beide items be vat- 
ten een aantal handige link- en naviga- 
tie-commando\. 

In XEmacs kan ook de Python- 
interpreter opgestart worden* Bij een 
gedeeld venster bevindt de code zich 
in het bovenste dee I en de interpreter 
in hcl onderste. Als ontwikkelaar heb 
je daarmec hcl voordeci dat Je je code 
meteen kunt testen zonder dat jc dc 
editor tijdens een interpreter-sessie 
hoell le vcrlaicn. HiJ is zelfs in staat 
om alleen specitleke eode-fragmenten 
(regions) uit te voenen. In de menuop- 
tie 'Python' bereik je dit via het com¬ 
mando 'execute region’ (dc region 
moei dan wel gemarkeerd zijn). Verder 
kan de editor uitstekend overweg met 
de inspringing ('indentation') die zo 
kenmerkeiid is voor Python, Als je de 
tocLscombinatie <Ctrl+c ?> indrukt, 
krijg Je ecu beschrijving van de Py¬ 
thon-modus te zien. 


SPE in actie: hier editen we het 
Pygame-spel Solarwolf. 


SPE 


Ook Slani’s Python Editor (SPE) is 
open source, maar heeft zich ontwik- 
keid van lean and mean code-editor tot 
ee n [>ret! i ge p rog i‘a m mee ro mge v i ng 
met een actieve community, die zeer 
regel mat ig wordl onderhouden, De 
highlights zijn de geYntegrcerdc debug¬ 
ger Winpdb, solide code completion, 
een class explorer, cenvoudige UML- 
diagrammeo en vooral de erg ^oede 
bindings met andere tools zoals 
wxGladc, Blender cn PyChecker, 
Dankzij GUI-designers als wxGladc en 
XRCed doet Python het uitstekend als 


Ook het open-source Eric3 is goed 
ondcrhtiudcn cn geliefd in de Python- 
gemeenschap: de/c IDE is gcschreven 
met PyQi en de editor-component 
QScintilla, biedt erg goede Qt- en 
KDE-bindings en hcefl een fraaiere 
GUI dan zijn trollenlogo en initiele 
btimvoile opslaitscherm doen vermoe- 
den. Het grote scala aan tixiibars biedt 
allerlei opties, zoals geYntegrcerdc de¬ 
bugging, code coverage, unit testing, 
refactoring en cen interface met versie- 
beheersystemen. 

Eclipse: Pydev 

Voor de ontwikkelomgeving Eclip¬ 
se is de plug-in Pydev vcrkrijgbaar, 
waarmee je effeedef Python-code kuni 
schrijvcn, Zowcl Eclipse als Pydev 
zijn gratis. In principc was Python- 
ctxleontwikkeling a I geYntegreerd in 
Eclipse, maar een aantal essentiele 
functies ontbrak* Zo kon jc wel de 
interactieve console in Eclipse oproc- 
pen, maar was Je aangewezen op een 
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HEVIEW 


Scripttalen 



Sparlaatis aandoende cdiu>r. 

Oiti Pydcv te installereji, kun je de 
inhouci van de mappcn edtpse/phtgins 
en eclipse/feaiures in hei /ipbestand 
naar dc gclijknumige Eciipse-mappen 
kopieren* Makkelijker is om hci mci dc 
autoinatische update-functie van Eclip¬ 
se le d<>cn. In dal geval voeg je in de 
update manager (Help/Soflware Upda- 
tes/Find and Install...) dc site http:// 
pydev.skn€t/updates/ it>e. Net voor redac^ 
ticsluiting kregcn we op die manier dc 
nieuwste versie 1.0 btnnen, en nag dc- 
zelfde avond dc bitgllx f X).J. 

Online brennen 

Wing IDE 

www.wjngwdFe.cofn 

Komodo 

www.ocliveslgle.com/Producls/Komocto 

SPE 

tirip://pylhomde, sloni.be 
Eric3 

wwwdiedfenbQcbs.de/dellev/ericS.hlml 

Pydev 

http://pydQV.sourceforge.net 
Red Robin Jython (JyDT) 
http://jydt.sou reeforge.net 
win32all’extension 
-httpi//storshlp.pyfhQnin«t/crew/ 
mhcrmmond/win32 
Bog Conslructor 

h}tp://boCKons!ruclor.sourceforge.net 
Een gitgebreid ovemcMvan Python-1 DE's 
http://wikF.python.ofg/moin/pythDnedjtors 


Pydev bescliikt over erg nultige featu¬ 
res, /x)als cen geVntegreerde debugger, 
contexigevoelige code completion (de¬ 
fault staat de?,e nil), code cheeking met 
Pyiint, code folding, syntax highligh¬ 
ting, een geautomatiseerde updatefunc- 
tie en een code coverage tool. Met 
name de code completion is handig, 
want niemand heeft natuurlijk de com¬ 
plete standaardbibNothcek in /.ijn 
luK^fd /illen* Als je bijvooriDeeld dc 
motiule sys importeert en 

sys.byteo 

inlypt, dan word! er een popup-menu 
geopend, waarin allc lypen van dc .m- 
modules alfabclisch opgcsomd worden 
(functuins, attributes en?.., inckisief pa¬ 
rameters en retiirntypes). Ook de func- 
tie van een type sUial als commentaar 
vcrmcld. Nadat de gebruiker zijn 
keuze gemaaki heeft, wordt de code 
geexpandeerd tot 

sys.byteorber 

Ook de outline-viewer van Pydev is 
bandjg. Hicrmcc /.ie je bet geraamte 
van het program ma in de vorm van 
klassen-, meihodcn- of funcltenamen 
in cen oogopslag. Met bchulp van 
xulke views kan een developer sue! en 
gemakkelijk door de code navigeren. 

Pylhon-scripts kunnen direct in 
Eclipse iiitgevoerd worden (in het 
menu Run/Run as/Python Script). 
Pydev inlegreeri dc interactieve inter¬ 
preter automatisch, Je kunt de editor 
aanpassen aan je persoonlijkc wensen 
(fontgrootte, kleuren, enzovoort) en hij 
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Python goes Eclipse; Pydev verlicht het 
werk oanzienlijk, Rechts in beeld staot 
de oudine-viewer. 


kan goed overweg met indentation 
(maar niet zo goed als XEinacs), In hei 
algcmeen voldoeii de prestaties van 
Pydev aan de moderne slandaarden, 
maar met name de integratie met 
Eclipse is prettig: ondersteuning voor 
een versiebebeersysteein is op die ma¬ 
nier meieen ingebouwd. Het automa- 
lisch bijkomende nadeel is dat Eclipse 
een behoorlijk snelle machine verclst. 

(' Eclipse: Jython 

Hoewcl Pydev intussen ook Jython 
ondcrstcuni, bestaat er voor Python- 
implementaties in Java al gcruime tijd 
cen eigen plug-in. Red Robin Jython 
Development Tools for Eclipse (kort- 
weg JyDT) is ontwikkeld vmr Jytbon- 
vcrsic 2d en Eclipse 3.().x (let op: met 
Eclipse 2.Lx draait de plug-in niet) en 
is gratis te downloadcn. 

In november 2(M)3 werd het project 
opgestart. Volgens de ontwikkelaars is 
er geen groot plan dal bcpaall in welke 
richting de plug-in zkh zal ontwikke- 
Icn, maar rich! bet project zich vooral 
op de wensen van gebruikers. Nicuw 
in versie L4.10 was bijvoorbeeld een 
vcrbctcrdc view op de klassenhierar- 
chie. 

JyDT is gemakkelijk tc inslaliercn. 
Op dc Source Forge-homepage vind je 
een handleiding die laat zicn hoe jc 
JyDT in Eclipse integreert: jc hoclt 
daarvoor allccn op dc link Installing 
the plug-tiV te klikken, die in de 
navigatiebalk staat. De procedure is 
eenvoudig, goed beschreven (maaki 
gchruik van screenshots) en functio- 
neerde in onze tests zonder problcmen. 

Na het downloadcn beschik je met 
Jython over ongevecr dezelfde functies 
als met Pydev, waaronder .syntax-high¬ 
lighting, cen V'ontcnt-assist' code com¬ 
pletion, een outline-viewer en functies 
om blokken code tegelijk te indeiiten 
of in commentaar tc verandcren (en 
lerug). Als er in een Jython-applicatie 
een runtime-foul optreedl, dan krijgje 
voor zow^el Java als voor Jython eerr 
stack trace. Helaas wordt Jython niet 
geleverd met een debugger. Maar Jy- 
thon/Java-ontwikkclaars zouden zeker 
ecn.s cen blik moeten werpen op Red 
Robin Jython, al was het alleen maar 
omdat je in de editor gemakkelijk kunt 
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switchen tusscn de verschillende sour¬ 
ces (Java, Jyihon). 


Boa Constructor moet 
een Delphi-kloon voor 
Python met de 
wxWidgets^toolkit 
warden. 


en heefl verrassend veel 
features: dc IDO bcschikt 
over verschillende views, 
een object browser, een 
gcTntcgrcerdc debugger 
en mogeJijkheden om de 
overervingsbierarebie van 
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Pythonwin 

Als je cen Windows-besturingssys- 
teem gebruikt (met name 2000 en 
XP), dan is Eclipse in combinatie met 
Pydev of JyDT cen van de mogelijkhe- 
deti. Als je Active Python installeert, 
de vrije Python-distributie van Active 
State, dan krijg je ook automatisch de 
gratis IDE Pythonwin van Mark Ham¬ 
mond meegeleverd (inciusief IDLE), 

De/c slabiele tool is intuftief te con- 
figurercn cn bicdl dc gebruikelijke on- 
dersteuning voor syntax-highlighting, 
indentation en automatische code com¬ 
pletion* Bovendien bcschikt Python- 
win over cen eenvnudige outline-vie¬ 
wer, die zich aan de linker rand van het 
venstcr verschuili (met de muis te ope- 
nen)* Bovenin vind je een browser 
voor COM -objec te n. 

Pythonwin kan ook overweg met 
code folding, en met behulp van de ge- 
iniegreerde module Tabnunny kom jc 
gemakkelijk inspringingsfouten op het 
spoor, Als je under Windows de Iradi- 
tionele Python-disiributie gebruikt in 
plaats van Active Python (verkrijgbaar 
onder www,python,org), moei je 
ook de extensie wm32all installeren 
om met Pythonwin te kunnen werken. 
Meer gedetailleerde informatie hier- 
over is te vinden op dc Python- 
website. 

Boa Constructor 

In een Windo ws-con text kun je niet 
been om Boa Constructor, een project 
dal zichzciromschrijfl als 'Delphi voor 
wxPython'* Dc cross-platfoim-IDE be- 
vindt zich nog in een ontwlkkelfase en 
de laatste versie 0,4.4 dateert al van 
juli 2tX)5, maar Boa is wcl degelijk de 
moeite waard. Het programma be vat 
een eigen GUi-builder voor wxPython 


klassen weer te geven. 

Bovendien kun je met 

Boa Constmcior op doesLring-geba- 

seerde HTML-documenten aanmaken. 

Wing IDE 

Ook enkele commcrcielc bedrijveii 
bieden professionele I^thon-IDE's aan, 
zoals Komodo van AcliveStaie uit Van¬ 
couver (Canada), of Wing IDE van 
Wing ware uit Brookline (VS). De prij- 
zen vcx)r Wing beginnen bij 179 dollar 
voor de professionele versie (295 dollar 
voor Komodo), de Persona! Edition is 
vanaf 35 dollar verkrijgbaar (Komodo: 
29,95 dollar), Als je cen en artder eerst 
wilt uitproberen, dan vind je op de web¬ 
site van Wingwane een demoversie met 
beperkte functionaliteit. Wing IDE 2.0.4 
draait onder Windows, Linux en Mac 
OS en is in vergelijkiitg met de aiidere 
IDE's in deze test uilstekend gedocu- 
menteerd. Wei is het een vrij zwarc 
omgeving. 

De belangrijkstc features zijn syntax 
highlighting, XFmacs keybitidings, 
block indentation, code folding, auto 
completit>n, auto indent, CVS-integmtie 
en Zope-support. Daamaast bcschikt de 
IDE over een klassen- en module-brow¬ 
ser, een /txrkmanager, een projectmana- 
ger en een bestandsbn>wser, f>c inlerac- 
tieve inteipreter en de debugger zijn ook 
standaard aanwezig. Wing ondersteunt 
de Python-versies van 1 32 tot 24, 


Onder Linux is de instalJatie kinder- 
spel, omdat Wing IDE geen extra com- 
ponenten nodig heeft. Het commando 

rof xvf wingide'2,0.3-l-i386Jinux,tor 

pakt bet archiefbestand uit. Aanslui- 
tend voIgt de installatie (als root): 

./wing insloll.py 

Tijdens de installatie (als root) moet de 
gebruiker enkele vragen beantwoor- 
den. Als de installatie suecesvol verlo- 
peii is, start je de IDE met het com¬ 
mando wmg2.0 & 

De interface zit logiscb in elkaur, 
maar overdondert eerst enigszins door 
dc vclc mogelijkhcden. Voor ervaren 
programmeurs zal de inwerkfase niet 
lang duren. 

Conclusie 

Python-ontwikkclaars hebben voor 
alle belangrijke platforms behoorlijk 
wat tools tot bun beschikktng die aan 
alle moderne cisen voldocn (inge- 
bouwde interpreter en debugger, outli¬ 
ne viewr code folding, enzDvcK)rT). Dat 
is van doorslaggcvcnd belang voor de 
acceptatie van Python, zeker nu er als- 
rnaar meer conimerciele belangstelling 
is (Google, Microsoft, Nokia), De in- 
tegratie met het Eel ipse-project is in 
ieder geval een stap in de goede rich- 
ting. Verder zijn er met Wing IDE en 
Komodo ook rohuustc eommerciele 
oplossingen met support voorhanden. 

THOMAS KAUFMANN 

is werkzoom oh onfwikkeiaor 

(Python, Java, C/C#) en auleuf. ^ 
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Prijs 

Bjjzonderheden 

Imocs 

gratis 

gelntegmarda PylNivmode 

SPE 

groEis 

snol, gciert« bindings 

Erk3 

yrniis 

intogrotro met Ot 

Pydev 

grntis 

debugger, code completion 

lython 

gratis 

studdraco vuor Javu uii Jytliori 

Pythouwin 

grtrlis 

browser voor CDM^bjeden 

Boo Constructor 

grotis 

GUtbuilder voor wePytbon 

Komodo 

PefstMinl version: 29,95 ddlor; Proftesionof version: 295 Mk\ 

goedo dobogging 

Wing IDE 

Personal v«r^on: 35 dollor Professionol veraon: 179 JoIIqt 

ikim- err rnodolo-browsef 


iX 2/2im 


43 























ItlliOfITAOi 


Service-monitoring 



V an een IT-provider mogcn klan- 
ten verwachten dat zijn gckver- 
dc prestatics volledig transparant 
aantoonbaar zijn; de afnemer wil 
mers precies weten waarvoor hij be- 
laalt. Ecn manier om bewijs te leveren 
voor dc verrichte werkzaamheden is 
" e nd -to-e nd-nioni tori ng " (E2E- mon ito - 
ring) mcl robt)t-appKcaties, waarmee 
het reactiegedrag van applicaiies auto- 
matisch genieten kan wordcn. 

Hcl uilvoercn van objcctieve metin- 
gcn vergt een behoorlijke aanpassing 
van IT-providers, Maar zonder dczc 
objcclicvc evaluates kan klanttevre- 
denheid alleen globaal geineten wor- 
den, met vage rapporten over kwalitcil 
en preslaLicN die weinig vertellen over 
het daadwerkelijke service level, Zo 
verzand je al snel in discussies over 
technisch cn wctlclyk grijze gebiedeo. 

Als cen service provider wil vol- 
doen aan de - overigens wettelijk be- 
paalde - eis lot transparantk% kan hij er 


nict omhecn om wettelijk en technisch 
gedeiailleerde overeenkomsten af te 
sliiiten. Op zich nict zo’n pmblccm, 
want dcrgclijke hardc kwaliteitsafspra- 
ken hieden de provider vooral voorde- 
len: als hij alle afspraken nakomt die 
hij zwari op wii (jp papier heeft staan, 
blijft hij in iedcr geval concurrerend. 

Met minutieus bijhondcn van de ge- 
levcrde diensten kan dus voordelcn op- 
Icvcren. Maar de rapportage van de 
presiaties kan ook een valkuil warden 
als die op ondiK)rdachlc wijze tot stand 
komt. Als je als IT-provider simpele 
basisstatistieken gebruikt die slechLs 
ecn grove schatling geven van de sys- 
tccmbcschikbaarhcid, geef je je klan- 
ten een flinke stok om mee te kunnen 
slaan, De ktanl kan immers beweren 
dat dc belcK^fde prestatie niet geleverd 
is, Dat kan niet alleen tot gcvolg heb- 
ben dat rclaiies op gespannen voct 
komen te slaan, maar ook dat afnemers 
een financiele compensatie eisen. Dai 


laatste kun je voorkoinen door zo'n 
compcnsalic duidclijk te definieren in 
het service level agreement (SLA), oa- 
tuiirlijk met instemming van beidc par- 
tijen. 

Een provider kan zich wapenen 
tegen dergelijke tegenspoed door te 
zorgen dat er m weinig mogelijk ruim- 
te is voor discussie over de kwaliteit 
van diensten en service die de klant 
daad wcrkclijk heel I genoten, Gege- 
vens over de beschikbaarheid van toe- 
passingen en processen kunnen end-to- 
end vastgesteld worden, Hcl principe 
lijkt op het eerste gezieht behoorlijk 
eenvoudig: het bedrijfsproces van dc 
klant simulcren of in dc i)pcraticvc 
omgeving meten. Met end-fo-end-mo^ 
nitoring kunnen ondernemingen hun 
processen vanuit hetzclfde pcrspecticf 
bekijken als de eindgebmiker. E2E kan 
bestaande oplossingejt voor de monito¬ 
ring van de IT-infrastrucluur, zoals die 
van HP cn IBM, verder aanvullen. 


44 


iX 2/2006 












_Jl-TRACT_ 

• De presfcifie dfe een service- 
provider op zijn systeem be- 
schikboor stelt wordt scms 
door de klont in twijfel getrok- 
ken. 

• Discussies over de doadwerke- 
lijk geleverde prestahes kunnen 
nieJ alleen de relotie mefr de 
klani verslechleren, moor ook 
de wins! verkleinen. 

• Voor objeciieve pneiingen van 
een applicotie vanuif bet ge- 
zichtspunt van de klant ziln 
speciale tools nodig, de zoge- 
naamde robot-oppltcaties 


Volgens recente gegevenN van <>n- 
dcrzoeksbureaii Gartner vinden veel 
aanbicders ccn dcrgelijke oplossing 
aantrekkelijk. Bijiia 50 prtx^enl van dc 
ondervraagden op de Data Center Con- 
fercfice 2004 gaf aan te willen iriveste- 
ren in een aeticf end-to-ciid-nionilo- 
ringsysteem en diE met name te willen 
gcbruiken voor de interne perfonnan- 
ce-monitoring. 

Simulatie van de ge- 
bruiker 

Vecl van de gcbruiktc meeimetho- 
den draaien echter op de achtergrond 
en voeren gebruikersacties uit zonder 
dal je daar cnig inzicht in hebt. Om de 
met ingen ook voor de afncmers voile- 
dig transparant te maken, is bet gebmik 
van robot-applicalies onontbeerlijk. Dit 
zijn computerprogramma’s die nage- 
noeg zelfstandig en zonder interventie 
van de gebruiker kunnen werken. Het 


begrip Vobof in dit verband komt uh 
teraard uit de auto-indnstrie, waarin 
complete productiefasen geautomati- 
seerd zijn. 

Een aanschouwelijk vocjrbceld van 
een gcautomatiseerd IT-proces is Cus¬ 
tomer Relationship Management 
(CRM). De gebruiker navigeert steeds 
met een bepaald doel door een CRM- 
applicatie volgens een bepaald model. 
De navigatievolgorde zou cr als volgl 
uit kunnen zien: de gebruiker start de 
CRM-appJicatie op, meldt zich aan, 
haali dc lijst met hel actievc klantcnbe- 
stand op, bewerkt de lijst, meldt zieh af 
en sluit de appficatie. Op dit punt komt 
de rohobapplicalic in bccld, want deze 
moet ei'voor zorgen dat het proecs 
waarheidsgetiouw jiagebootst wordt. 

Als jc hcl robotpri>ccs op je scherm 
volgt, lijkt het alsof de pc bediend 
wordt door een onzichtbare hand. De 
CRM-applicalie wordt geopend zonder 
enige menselijke tussenkomst, cr wor- 
den teksten ingevoerd en knoppen aan- 
gckiikL Mcl deze melhode kunnen 
complete bedrijfsproccssen gesimii- 
leerd worden en kunnen tegelijkertijd 
kwalitciisparameters zoaLs beschik- 
baarheid en responstijd gemeten wor¬ 
den. 

Bij de realisering ervan moeten 
echter mcer details in aanrnerkiiig ge- 
nomen worden dan het zich in eerstc 
instantie laal aanzien. Zo mag de moni- 
toring-robot bijvoorbeeld niet aan de 
programmeerinterlaces (Application 
Programming Interface, API) van de 
bcLrcffcndc applicaties komen, want 
daarvoor zou gcspccialisccrdc (pro¬ 
gram meer)kennis vereist zijn. De enige 
applicatie-onafliankelijke constante is 
de desktop-API. Hel voordeel van deze 
API is dat applicaties en de daarbi j ho- 
rende elementen, op enkele uitzonde- 
ringen na, dirccl op dc desktop geregis- 
treerd worden. 


Toepassingsgebieden 
van de automatisering 

End-to-end-monitoring in zijn een- 
voudigste vorm kan al bestaan uit het 
Icrminal-conimando ping, of het ver- 
sturen en ophalcn van een Icstmail - 
een probate procedure en de eerste stap 
op weg naar automatische eiid-to-end- 
monitoring. Op den duur is het onprak- 
tisch om een dergelijk proces handma- 
Ug uU te voeren, want het gaat hier wel 
om een kritick pR>ces in de bedrijfs- 
voering. Als Je als provider je klant een 
volledige service aanbiedt en hem bij- 
voorbecld complect uitgeruste werk- 
plekken met software ter bcschikking 
stelt, dan heb je ook steeds de verplich- 
ling ervoor te zorgen dat de applicaties 
correct geconUgurecrd zijn. 

Robots kunnen permanent in de 
galen bouden of bepaalde IT-diensten 
beschikbaar zijn cn met wclk kwali- 
teitsniveau. Bovendlen kan een robot- 
applicatie een compleet proces en alle 
stappen in dat proces rneten. Welkc 
stappen er in een SI .A ook zijn vast- 
gelegd, er is altijd een robot die ze 
kan simulercn. 

Sterke en zwakke pun- 
ten 

Dc afnemer van de dienst kan de 
nietingen op de v<x:t volgcn cn applica¬ 
ties remote laten testen via de robot-ap- 
plicalie. Om deze reden wordt end-to- 
end-monitoring vooral gebruikt bij 
outsourcing. De meting kan heel pre- 
cies afgestemd worden op de inhoud 
van het service level agreement. Beidc 
partijen moeten het alleen eens worden 
over de clickstream. Als de provider 
hinnen deze clickstream bepaalde tijd- 



Applicatie * 


Robot 


Het is vemk een lange weg van de ser¬ 
ver van de provider near de applicQ- 
tie von de kf 0 nh Objeetteve metingen 
zijn zonder onofhankelijke instantie 
alleen mogelljk aan de leant van de 
klant (afbeelding 1). 



De robot, een gesimuleerde gebrui¬ 
ker, beweegt zich aon de bond van 
vooraf bepaalde instellingen door de 
opplicotie been en documenteert aan 
het ernd zijn bevindingen {afbeelding 
2 ]. 
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RiPOIITAGi 


Service-monitoring 


Aanmelden bij SAP R/3 


Slippcn dcHniccrl, dan zijn dc meet- 
puntcTi tK>k vtK>r do klant iranKparant. 

Voordat end-to-end-monitoring in- 
gevDCrd kan worden, zijn er wcl nog 
cen aanlal hindemissen te nemen. 
Vooral de vetligheidsaspecten moeten 
goed doorgesproken worden, want 
V(H)r de monitoring wordt cen onbevei- 
ligde meet-pc het bedrijf binneiige- 
brachl. Als een robot de gebrtiikersin- 
lerfacc aclicr gaat gebruiken, dan mag 
dal systeem iiiteraard niet geblokkeerd 
zijn. De enige manier om een en ander 
tc beveiligen is hcl instellcn van een 
toegangscontrole of het dichtzetten van 
h:irdwarepoorten. Oin le zorgen dat de 
pc niet aangevallen wordt via de remo¬ 
te-console, is het nodig een dedicated 

Aanbieders van E2E-moni- 
toring4ools 

Er zijn Ux>ls in iillcrlci soorten en maten 
verkrijgbaar. Vaak zijn deze niet speci- 
aa I o n t w i k ke I d voor end-lo-e nd- mon i i o- 
ring, miuir voor iindcre Uikcn. Hier volgt 
een klein overzicht van tools die ge- 
schiki zijn als deskiop-georienteerde 
robot-applicatie voor end-to-end-moni¬ 
toring: 

HMCs Magic Desktop Automation 
maakt batchhewerkingen mogelijk die 
ook via de interface kunnen lopen 
(WWW .re niedy .coi n). 

Met Ro bo task kun je interactief com- 
plexe cl icksi reams samcnstcllcn: dc 
code hiervan kan ook door onervaren 
gebmikcrN via functietoctsen uitgebreid 
worden {www.mbotask.com). 

Wintask biedt vele extra's voor com- 
fortaliele end-uvend-monitoring (www. 
wintask eoni). 

Winbatch biedt niiddels de "Windows 
Desktop Automation' cen cenvoudige 
manier om robot-applicalies te ontwik- 
k e len (w ww. w i nbalcii .com). 

Mjtnel automatiseen bcdrijfsproccssen, 
dc nesuUaten worden nabcwerkl met cen 
editor (www.mjtnctxam). 

Bovengenoemde tools hebben geen ex- 
plidete integraiic-inlcriace voor SLA- 
tools. Dc bcheerder of de Service Level 
Manager hclil^n lechnisch gezien eeb- 
ter wel de mogclijkhcid om deze tc intc- 
greren. 


Commando 

useWido*(,mo&oBm* j. j) 

Gid( Bulloti/fiAannieldin') 

tJseWindow(,...iSAPR/3|i;i) 

S&ndl{eYS[^fiJ^in<rctb>ppsw&rd<Ertter>'') 


omgeving te gebruiken. 

Naast een goede beveillging ts bij 
E2E-monitoringsysteem ook het 
onderhoud van grote betekenis. ALs 
applicaties steeds veranderen, kumcn 
rotxds niet gtK!d uit de verf. Bij ictlere 
wij/.iging moef dan ook nagegaan wor¬ 
den of de robot zijn weg nog kan 
vinden, of dat de robot-software aan 
vemieuwing toe is. 

Het geautomatiseerd opsiaitcn van 
een appltcatic is vrij cenvoudig tc 
rcgclcn via cen commando in de shell. 
Het wordt lasttger als er een grafisebe 
interface (GU!) in het spcl komi, zoals 
dc Windows-desktop. Om ervoor te 
zorgen dat het juiste venster benaderd 
wordt. moet de naani van dal venster 
via dc GUI tiitgelezen worden. 
Ook gesimuleerde toetsenbordiiivoer 
bchoorl lot de slandaardfuncLies van 
een robot: op die manier kan de soft¬ 
ware tekst, namen, logins enzovoort 
doorsiurcn naar dc appltcatic, Om 
grailsch tc kunnen navigeren, zoals dat 
bijvoorbeeld mogelijk is bij Citrix- 
syslemen, moeteti bcpaaldc elenienlen 
op dc desktop gemarkeerd en als 
afbeciding opgeslagen worden. 

Stop 1: Hef vastleggen 
van gegevens 

De belangrtjkste functie die een 
robot moet hebben om krachlige end- 
to-end-monitoring in te kunnen zet- 
ten, is de mogelijkheid om alle inter- 
aciie met de applicatie vast te leggen, 
Dil mud sncl cn nauwkeurig gehen- 
ren, want de kwaliteit van de registra- 
lie beinvloedt het eindresultaal van 
het project cn duaiTnee dus de onder- 
houdskosten. Een project kan pas tot 
een goed einde gebracht worden als 
het start vanaf ecu cenduidig gedefi- 
nicerde basis. 

Dal is geen gemakkelijke opgave, 
want om het gcbniik goed Le kunnen 
analyseren moet er een goed model, 
of een expert aanwezig zijn. Bij het 
gebruik van cen model mtx;l het pro- 
ccs volkomcn duidclijk en hegrijpelijk 
zijn. Voorwaarde hiervoor is dat er 


Uitleg 

Zit pp fhit QQnmddvgnstef 

De aapmetdbi>p word! ingedipkl 

M de muisfpoui op do logbdiojooQ 
GebiutkoFsgegevens on op drukkon 


cen complete lijst koml met de invoer 
van de gebruiker. De "recording' hier- 
van moet bovendien bestand zijn 
tegen afwijkingen door muisklikken 
op verschillende delen van de desk¬ 
top. 

Van opname tot foto- 
shoot 

Tijdens het opnemen van de gebrui- 
kersaclies moet allereerst de click- 
stream op dc aehtergrond worden 
gecodeerd; deze code moet naar wens 
achtcraf bewerkt kunnen worden ("up- 
name"). Er tnoel gtted gclet worden 
op onderbrekingen in het proces 
(‘stop-and-go'),zodat evenluele bedie- 
ningslbuten opgelosl kunnen worden. 
Het moet mogelijk zijn om de registra- 
tie op ieder gewenst moment te onder- 
breken en weer up te starten. Naast de 
opnamefunctie is ook de functie die 
zorgt vtmr de verwerking van het 
grafisehc resul laat (" folo-shool i ng^) 
van belang, met name als de referen¬ 
cing van afbec Id ingen onderdeel uit- 
maakl van het proces, Dc functie 
‘Image Synchronization' biedt onder- 
steuning als bijvoorbeeld een knop,die 
van beiang is voor hcl proces, ondcr 
Windows geen naam loegewezen heeft 
gekregert. 

Onderhoud en herge- 
bruik 

Zoals bekend veranderen applicaties 
van tijd tot lijd. Dat houdl in dal i%)bol- 
applicatics tK>k van tijd tot tijd aangepast 
moeten worden. Als procesregtstraties 
niet gedeeltelijk uitgewisseld of aange- 
vuld kunnen worden of als het complete 
proces helemaal opnieuw beschreven 
moet worden, dan gaat het wezenlijkc 
VOTixleel van cen rt>bot-applicatie - het 
hergebniik - verloren en zullen de pro- 
jectkosteii sttjgen. 

Hel werk met screenshots maakt het 
proces er niet eenvoudiger op en kan 
dus uit kostenoverwegingen voor on¬ 
derhoud in de trickumst tK>k maar hcL 
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best vermeden worden. Maar in veel 
gevallen ben je loch aangewezen op 
screenshots oindat niet alls events en 
gcbruikerselementen op de desktop ge- 
registreerd zijn, Er /.ijii hiervt)or 
slechts twee tegengestelde oplossingen 
rnogehjk: het beeld van de grafische 
kaart hi do ccxle integreren, of de graft- 
sche kaart aanspreken via de code. 

Bij geintegreerde inhoud wordt bet 
graftsche beeld uitgclc/cn van de gra¬ 
fische kaart en direct door de lopende 
code ingelezen, wat de code echter on- 
ovcrzichlelijk maakt. Hicrmcc inocl 
vooral rekening worden gehouden bij 
het verdelen van robots over nieerdere 
doclsystemcn. Hr kan aUeeii sprakc 
ziJn van een compacte conversie als er 
een bestand overgedragen wordt dat 
zonder niniimc environment direct op 
het doelsysteem kan starten. 

Als de code naar de inhond van de 
grafische kaart verwijst, dan boefl hij 
alleen tc verwijzcn naar de albceldin- 
gen en de elementen op de desktop, 
waardoor het geheel overzichteiijk 
biijft. Bij dc rolfouL kunnen de robot 
en zijn bestanden in hun geheel over- 
gezet worden naar het doelsysteem ~ 
mils dc padslrucLuur dczelfdc is. 

End-to-end-monitoring is afgc- 
stemd op de software die geevalueerd 
moet worden, die met een beetje ver- 
beelding enigs/ins lijkt op een 
ievend object’. De gebruiker moet 
daarom rekening houden met nieuwe 
ontwikkclingen, updates cn gebrui- 
kersprofieien. In dit verband is een 
leesbare code dan ook zeer belangrijk, 
want zo kunnen handmatige aanpas- 
si ngen snel doorgevoerd worden* 

Er is geen alternatieve niogeJijk- 
heid oin individucle processen voort- 
durend af te stem men en tbuten op te 
lessen die tijdeiis het proces optreden. 
Als voorbccld zouden we hcl scenario 
kunnen gebruiken dat in de praktijk 


steeds terugkomt: de analyse van een 
nieuwe applicatic, die onbekend is 
voor de gebruiker. Op de eerstc plants 
moet de login-functie voor verschif 
iende gebruikers gclcst worden met 
behulp van robot-applicaties. 

De analist start de applicatie, stelt 
dc login in voor een lestgcbruiker en 
sluit dc applicatic weer af als die zijn 
taak bee ft volbracht. Verder moet de 
gebruiker dc code uitbreiden door een 
bestand met de inloggcgevcns ter bC“ 
sebikking re stellen, zodat de robot 
bij iedere nieuwe start van de appli- 
catie een andcre gebruiker kan simu^ 
leren, Telkens wordt dezelfde proce¬ 
dure Liiigevoerd^ maar de resul eaten 
kunnen steeds weer anders zijn. Zo is 
her bijvoorbeeld mogelijk dat de ge- 
bruikersnaam plotseling niet mecr 
herkend wordt, dat het wacbtwoord 
ongeldig is of dat het jniste profiel 
niei meer geladen kan worden. 

Monitoring in de praktijk 

Her bovenstaande vcR>rbeeld maakt 
diiidelijk hoe complex de tndivtduele 
controle van een appiicatie kan worden, 
als er met alfe randgevallen mkening 
moet worden gehouden. Als behalve de 
data ook de navigatie verandert, zoals 
vaak hei geval is hij websites die hun in- 
hoiid laten athangeii van een profiel, is 
de verwarring conipteet voor robot-ap- 
plicaties* Er is dan behoorlijk wat ondcr- 
houd nodig en een permanente bewa- 
king van functional iteiten. 

Twee praktijkvoorbeeldcn verduide- 
lijken de bewerkingen die nodig zijn 
voor de login op SAP R/3 en Cidix Me- 
taframc. Om een en ander aanschouwe- 
lijk te maken dienen twee frag men ten 
Visual-Basic code die in WinTask ge- 
bruikt wordt. Het cerste voorbeeldkader 
laat zien hoe SAP R/3 opgcroepen 


Aanmelden bij Citrix Metaframe 

Comniondo 

Uitleg 

U seWindfl w( JN.eKe... tCA-Vot bind i ngon", 1 ) 

CboosGItem[LslView. J", ^iCA'V&rbinding single^ left ) 
Cbci05eltem[Lis!V(ew, J", double, left) 

let de iTiuisfetus ep het Gtrix-veiister 

HnvigetlB rioDj de ICAverbirtdlng en 
het servercluster, veEVolgen? pictugfpm kie^en 

PAUSE utiHl 

C; \.. A ... \Scri pts\ ucnrneldirtgsdiQlMy.bnip'') 
llnWirfdow(,WFlCA32.EXE 1 j Mum - (M% jaClieni j 1M] 

InAfeol 0.0,1230, 102^) 
tndPause 

Start een wacbdus, laldnt h albedding voor 
liel DnnmeldmgsdialoogvGjrsfsr VB^sthijul. 

U\ focus op Ciljii(<ipE)lk(Jfie 

2oek het iftlog^didoogveTister op bet scitetm 

EInde m dc woditEu^ 

U 5 eWindow(,WFICA 32 .E](E j ... j^ Gtrix ICA-OEGnt j 1 M ) 
SendlCevi{Jogin<ab>pffssword<Tob><Tab><Eri!£r>'') 

2et de mukfeus.op bet oonmeldingwenster 
Gebmikersgegcv.ens invoeren en 
op Enter drukken 


wordt en hoe de aanmelding in zijn 
werk gaat. De robot-appiicatie navigeert 
via dc venstemamen en voert daar de 
login-gegevens in. 

Het Citrix Mctaframe-voi^rbeeld 
heeft een anderc basis. Citrix gebruikt 
een host-techniek die vooral bekend is 
in de wercid van de mainframes; het 
programma vcrstuurl dus een Lekst en 
krijgt het resnltaat van de host. In dit 
geval is hei resuliaat een plaaijc voor de 
desktopcmulatie (bijvoiirbecld met een 
dialoog). De robot-applieatie moet dus 
ill voor veisturen en op liet desbetreffen- 
dc beeld wachlen. 

Toekomstperspectief: pa- 
rallellisering en Kl 

Dankzij dc toegenonien behoefte aan 
monitoring bij outsourcing bespoetiigen 
veel aanbieders de ontwikkelingen op 
dit gebied. Op het gebied van parallelJi- 
sering en kunstmafige intelligentie (KF) 
zijn ingrijpende veranderingen te ver- 
wachten. De vooralstiog sequentiele ver- 
werking op de desktop kan in de too- 
koinst vervangen worden door 
parallelliseriiig. Dat houdt in dat meer- 
dere robot-applicaiies dan gelijklijdig op 
meerdere virtuele desktops werkeii. De 
haixlwaiebelasEing kan zo zelfs bij inten- 
sieve belastingslesLs binnen de perken 
blijven. 

Een semantische analyse om robot- 
inLelligentic Le verbeteren sLaal welis- 
waar nog in de kinderschoenen, maar 
het gebmik van KI biedt wetenschappe- 
lijk gezien mogciijkhcdcn. Dc flexibili- 
teit van de robot moet gelijke tred hou¬ 
den met de complexiteit van de seiv/ice 
level agreements tussen de providers en 
hun kiaiiten. Het uiteindelijke doe I is dat 
zcifs de meest complexe service level 
agreements probleemloos kunnen wor¬ 
den gemonitord. En dat is zeker gecn 
onmogelijke opgave, want robot-appli- 
caties worden steeds sneller en intelli- 
genter. 

DR.-ING. ROBERT SCHOLDERER. 
(Hoofd Techntek] en 

NICOJACKELM. A. 

(Hoofd Marketing en Verkoopl zijn be- 
drijlsieiders bij G NE uit Karbmhe, 
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PRAKfllK 


Databases 


MySQL-clusters inrichten 

Samen opslaan 

Kai Voigt 

Met MySQL kun je 
meer doen dan ai- 
leen hobbyprojecten 
en eenvoudige web- 
foepassingen ver- 
vaardigen. Voor 
belangrijke toepas- 
singsgebieden is er 
een databasecluster 
beschikbaar. 




e IVccwarc daLabase MySQL 
heeft Glider het acroniem LAMP 
(Linux, Apache, MySQL, PHP/ 
Perl/ Python) bekendheid verworven - 
velen ondernemen met MySQL hun 
eerste pogingen in de richting van een 
webtoepassing, Daarbij komt het cr 
vaak niet op aan of die database 24/7 
moet draaien. Wie desondanks waarde 
hccht aan een dergclijke bclrouwbaar- 
held, kan een cluster van meerdere 
MySQL-databases opzetten. 

Clustering belckent het aaneenseba- 
kelen van meerdere computers die het- 
zelfde werk uitvoeren. Dat vergroot de 
beschikbaarheid, want bij uitval van 
een systeem kunnen de overtge com- 
ptJters de services van dat systeem 
overnemen* Bovendien verbetert dc 
doorvoer van gegevens en krijg je een 
schaalbaar systeem. Groeien de eisen 
die aan de service worden gesteld, dan 
voeg je gewoon nog een computer aan 
het cluster toe. Bij hoge vereisten is 
clustering om deze redenen niet alleen 
nultig voor databases, maar ook voor 
fileservers, firewalls, pure rekenpresta- 
ties, eiizovQort. 

MySQL is gebaseerd op een twee- 
trapsarchitectu ur, Naar bu iten toe zorgt_ 
het mysqld-pTQc^s (server) voor de 
opzet van de netverbindingen, de con- 
trole op toegangsrechten, de organisa- 
tie van de query-cache en andere be- 
heertaken. Voor hcl schrijvcn cn Iczcn 
van gegevens gebruikt MySQL diverse 


‘sloragc-enginesL Tabellcn krijgen, af- 
fiankelijk van de gestelde eisen van de 
ontwikkelaar of administrator, een van 
die storage-engines toegewezen, bij- 
voorbeeld MylSAM of InnoDB. Voor 
clustergebfuik beslaal een eigen stora¬ 
ge-engine, genaamd Network Data¬ 
base (NDB), Deze biedt net als 
InnoDB transaeiies met de bekende 
ACID-eigenschappen Atomicity, Con¬ 
sistency, Isolation en Durability, 

Cluster verdeelt gege¬ 
vens synchroon 

Naast de clusterarchitectuur biedt 
MySQL voor de lastenverdeling repli- 
calie aan, TerwijI clusters synchrone 
gegevensopslag via de storage-nodes 
garaiideren, verdeelt een master de ge¬ 
gevens bij replicatie asyrichroon over 
verschillende slaves, Deze methode 
zou bier geen rol mogen spelen. 

MySQL Clustering is vanaf MySQL 
versie 44.5 voor I4nux/x86, Solaris, 
AIX, HP-UX en Mac OS X beschik¬ 
baar. Andere Unix-varianlen onder- 
steunt de fabrikant officieel nog niet, 
maar er zijii wel b eriebten van gebrui- 
kers die het met succes op andere sys- 
temen geVnstalleerd bebben. De 
ondersteuning voor clustering onder 
Windows staat gepland. 

Voor het installeren van MySQL 
met Cluster Support kun je of de bina¬ 


ry packages vanaf www.mysql.com 
downloaden, of de broncode zelf com- 
pilcren. Atlccn binary-pakketten met 
het achlervoegsel -max bevatten dc 
additionele features, onder atidere de 
benodigde NDB Storage Engine. Tij- 
dens bet installeren vanuit de bronbe- 
stand en moet na configure de optie 
—with-ndh-chfxter worden toegevoegd. 
Dc rest van het compileren en installc- 
ren geschiedt zoals gebruikelijk. 

Om dc genoemde clustervoordeleii 
le bereiken, heb je minstens twee 
nodes nodig voor de NDB Storage 
Engine. Meerdere aaneengeschakelde 
syslcmen verhogen dc beschikbaarheid 
en de gegevens doorvoer. De storage- 
nodes wisselen onderling hun opgesla- 
gen gegevens uit. In Icgcnstelling lot 
andere databases gaat MySQL, uit van 
eens share nothing-strategie: elke 
storage-node bezit lokale harddisks en 
je hebt geen gemeenschappelijk ops- 
lagmediimi nodig waartoe alle nodes 
toegang rnoelen bebben. 

Als je bovendien waarde hecht aan 
uiterst betrouwbare serverprocessen, 
heb je twee t)f meer syslemen nodig, 
waarop telkens een mysqld draait. Elk 
van deze mysqld-nod^s heeft iqeg^g 
tot het storage-cluster (zie afbeeiding 
I), Hoe dat precies functioneert, wordt 
later in sanienhang met de configuratie 
beschreven. 

Voor de configuratie en het starter 
van het cluster is een extra computer 
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Tpepassingen 

Application “ 


SQL 


1 r| Appficotion 


AoDlication - 

-1 A 1 - . -I 



Application 

1 

i 

Applicohon r 


,i MySQL-Server 

MySOL-Server 

MySQLServer 

[mysqtd) | 

(mysqld] 

1 i -- 

imysqkfl 

'- u - 


Storoge 


NDB-Cluster 

Storage-Nodei 



[Ml [n^l (tvdbdj tndbdj 


- -T '- - 

Manogement 

[ ManagementClient 
^ [e.g. ndj_mgni) J 

ManagemenrServer 
^ (ndbjiogind] 



Een MySQL<'clii5ter, be- 
stgaf ui! meerdere op- 
slag- en servercompufers 
die door een mciriage- 
ment-node worden be- 
heerd (ofbeelding 1]. 


Ben swiich plaalJil alle nodes in heB 
zelfde netwerksegment, 

_r)e basisconfiguratie van de clus¬ 
ters vintit plaals op dc management- 
nodes, Deze legt vast welke compu’ 
ters welke taken op zich nemen. De 
storage- en servermachines komen 
enkel te weten hoe ze de manager 
kunnen bereiken die bij de start de 
ovcrigc configuratieparamelers aan 
hun doorgeeft. In hun /etc/myxnf-b^- 
standen staat daarvoor alleen de 
mecsi essenlielc informatie: 

[mysc|fd] 

ndbcluster # NDB odiveren 
ImysqLcluster] 

ndb'Conrtedstring=l 92d 68.0.10# Manager-IP 

Vour hei siarten van storage- en ser¬ 
ve modes moet dc manage men teom- 
puter geconfigureerd worden. Daar 
rnaak je eerst een map voor de confi- 
guralic aanr 

mkdtr /vor/lib/mysql cluster/ 


verantwoordclijk, de zogenaamde ma- 
nagementnode. Deze legt de topologie 
van de storage- en nodes vast 

en geeft die door aan de deelnemende 
machines. Het management dient bo- 
vendien voor hel toezichl op en de be- 
sluring van dc draaiende clusters. 

Toepassing op meerdere 
confiputers 

Orn jc cigen toepassing bcschikhaar 
te krijgen, moet deze eveneens meerde¬ 
re malen gefnstalleerd worden. Bike in¬ 
stance moet dan in slaal zijn zich met 
een van de beschikbare mysqld-nod^^ 
te verbinden. Vaak leveren application 
servers zeals JBoss de locpassingen, zc 
zijn dan ook verantwoordelijk voor de 
verbinding met de mw//t/-nodes. 

Op deze manier bereik je een high 
availability van gegevens, servers en 
toepassingen, zonder dat er een single¬ 
point of failure beslaat, Weliswaar kun 
jc het aantal computers verminderen 
door lelkens een stomge- en een 
r/m<?/d-node op hetzelfde systeem te 
installcrcn, maar dit kan de preslaties 
van het totale systeem beperken. 

Omdat alle gegevens over de runti¬ 
me in het werkgeheugen gaan zitlcn, 
moet dil op dc storage-nodes in overv- 
loed aanwezig zijn - nieer eisen aan de 
hardware slelt MySQL Cluster nicl. 
Zodra hel werkgeheugen door een W- 
SERT of UPDATE vol raakt, geeft het 
systeem een foulmclding - net als bij 


TnnoDB of MyTSAM wanneerde hard- 
diskruimte ontoereikend wordt. 

Voor toekomstige versies is opslag 
op harddisks gepland. De common ica- 
tie tussen de nodes verloopt via TCP/IP 
met ten miiiste 100 Mbps,rnaar I Gbps 
worU aanbcvolcn, Omdat de gegevens 
onversleuteld worden verstuurd, moet 
je een afgesloten netwerk gebniiken. 

Ter illustratic volgt hicrondcr een 
minimale configuratie, die desgewenst 
kan worden uitgebreid. Vier computers 
bieden plants aan twee storage-, een 
management- en een my,^^/^-node (zie 
afbeelding 2). Bike pc heeft een eigen 
IP-adres: 

Monogemenhode 192.163.0.10 

Storage node A 192.168.0.20 

Storage-node B 192.168.0.30 

mysqid-nodes 192.168.0.40 


In deze map mod hd be stand 
conflg.mi staan met als inhoud de re^ 
gels die in Listing 1 zijn weergege- 
ven. Nu kun je de rnanagementserver 
starten: 

ndb^mgmd -f /vor/lib/mysqkluster/configJni 

Hiema moeten de services op de ovc- 
rige compiners worden gestart, te be- 
giniien met de beide storage-nodes, 
waarop je telkens 

ndbd “initial 

uilvoert. De opgave van —initial vocr 
je alleen bij de eerste start uit. Als 
laatste start Je de mysqld-imd^ via de 
standaard scripts. Het commando da¬ 
arvoor is op elk besturingssysteem 
een beetje anders. Onder Suse-Linux 
is hel: 

/etc/lnit.d/mysq] start 


ndb_mgmd 

ndb^mgm 


mysqld 



Na hd starten van alle syslemen 
is het cluster bedrijfsklaar. In de 
directory /var/Ub/mysql-clusier op de 
managemenlserver vind je de logbe- 
standen, waarin alle informatie over 


{Networkl 


3 


192.168.0.20 


192.16flO.30 


Storage-node A 



Storage-node B 


fNOBD-Node) 


(NOBD-Node) 


Een eenvoudig voorbeeld 
bevol binnert een netwerk- 
segmenf twee storage-, 
een server- en een ma¬ 
nagement-node (afbeel- 
ding 2). 
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PRAKTIJK 


ht:t opsLartcn wordl vcr/amcld. Later 
wordt beschreven hoe Je informatie 
over het cluster verkrijgt terwijl het 
acliel’ is. 

Cluster heeft NDB-engi- 
ne nodig 

Nu aile vereiste coniponenteii zijn 
gestart, kun je het cluster gebruiken. Je 
kiint bestaande tabellen zodamg con- 
verteren dat ze het cluster als storage- 
engine toepasscn, maar je kunt (K>k nie- 
uwe tabellen in het cluster aanmaken: 

ALTER TABLE oudejobel ENGINE=ndbclusrer; 

of: 

CREATE TABLE nieuwejobel 
(fdx ini, name charjlOO)) ENGINE=ndbduslef; 

Het werken met tabellen in clusters ge- 
schiedl in principc op dc bekcnde ma- 
nier. Naast de bekende SQL-opdrach- 
teii zijti er traiisacties. llelaas ontL>reekt 
de ondci-steuning van extcme-sleutclrc- 
laties. Verder kun je er bi j het gege- 
vensmodel en bij de berekening van de 
gchcugenuilbreiding rekening mcc 
houden dat alle datasets een vaste leng- 
te iiebben. V'/l/^C/7^/^kolol^men kun 
je wcliswaar dellnicrcn, maar het clus¬ 
ter l>eheert deze echter steeds als 
C/M/^-velden. De online documenlatie 
bevai ccn vollcdige lijst van dc aanwc- 
zige en ontbrekende features van de 
NDB-engine. 

Ben spec i ale Uk> 1 gee ft informatie 
over het cluster en stelt beheerfuncties 
beschikbaar. De oproep van die tool 
gcbeurl met de opdracht ndh_mgm, wal 
vanuit elk systeem in het cluster moge- 
lijk is. Omdal alle computers het IP- 
adres van de nianagementnode kennen» 
maakt de tool automatisch verbinding 
met de node. De administrator piaatst 
de opdrachten in een invoerregel; help 
gee ft ccn lijst van de beschikbarc op- 
drachteii. Met show ontvangt de admi¬ 
nistrator een actueel statusoverzichl. 
Dit loonl in een oogopslag al le belang- 
rijke informatie (zie listing 2), onder 
andere of alle geconfigureerde nodes 
aan het cluster dcelncmen. 

De overige commando's dienen 
onder andere voor het uitschakelen van 
afzonderlijke nodes, bijvoorbeeld om 
ze bij aanpassingen van de hardware 
keurig uit het cluster te kunnen halen. 
SQL-opdrachten die het gegevensbe- 
stand of de -structuur wijzigen eu tij- 
dens een dergelijke onderbreking op de 
andere eomputers worden uilgcvoerd, 
Worden door de managementnode na 
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de herstart van de gestopic computer 
alsnog doorgevoerd. Bovendien kun je 
protocolparameters tnslellen, die bij 
mtx^ilijkhcden exacterc analyses mogc- 
lijk maken. 

Gegevens back-uppen 
en terugzetten 

Met start backup maken alle stonige- 
nodes een back-up van hun respectieve- 
lijke gegevens naar de lokale harddisk. 
Voor regelmatige back-ups voeg je 
de enti 7 ndbm_mgm -e 'start backup' 
toe aan crontah. De Lnix-opdrachL 
ndh_restore volgl de omgekeerde weg 
Bij het tenigzetten van gegevens mag de 
topologie van het cluster verschillen met 
de situatie van het moment dat de back¬ 
up werd gemaakt, maar hij mag nog 
geen gegevens bevatten. Dit is nuttig bij 
ccn uiLbreiding van het cluster, ndb_res- 
tore kon je vanaf elke clustercomputer 
starten, de manager zorgt voi^r de verde- 
ling van de gegevens over alle storage- 
nodes. 

Met de configuratie van het voor- 
bceld kan een restore vanuil de mana- 
gementserver gestart worden. Daartoe 
dient de tweede Imysqidj-s^^cli^. in 
het algemecn kan vanaf elke compu¬ 
ter die een [mysqldJ-e^ntTy in de 
managementnode heeft een back-up 
teruggczcl worden. 

Lfitval van mvAY//fi-nodes wordt op- 
gevaiigen door meerdere nodes paral¬ 
lel le gebruiken. Toepassingen die een 
node benaderen, hoeven in geval van 
iiitval alleen maar naar een andere 
computer over te schakelen en even- 
tueel mislukte transacties opnieuw uit 
te voeren. 

Valt een managementnode uit, dan 
is dit voor het databasegebruik niel 
kritiek, aangezien de node in wezen 
alleen nodig is voor het siarten van 
het cluslcr. Oven gens kan de manage¬ 
mentnode nog meer functies overne- 
men, zoals hieronder wordt beschre¬ 
ven. 

Omdat alle gegevens meerdere 
malen in het cluster zijn opgeslagen, 
kan het uiLvalien van pc's opgevan- 
gen worden zolang er ten minste e^n 
tnysqid- en een storage-node blijft 
draaien. De uitval van een node wordt 
herkend door de storage- en de mana- 
gementmachines, die via heartbeat- 
verbindingen voortdurend met elkaar 
in contact staan, Nadat een .storage- 
node opnieuw gestart is, voeg je hem 
wecT aan het cluster u>e door hcl com¬ 
mando ndbd te geven. 


Lifting 1 

I-ndbd ddaultl 

voor dE sora^e-nodt 

[ iii/iy&qE-clijiUf/ 
(lfl0f|!epLiciJ=2 

1 tegeversdirector)' 

Hantal itsrigt-nod&s 

iitaDirs/var/lib/ilfiql-clusttr 

!lDStMi«492.1fiB.0.1D 

1 mr de lanagetentn^de 

f 2igen liostniaieiiP-’adfES 

Md] 

164.0.20 

ItdN] 

IHistiiiiE=192.164.0.30 

i 2erstt gEge'^CI^s^n!de 

t sti^rage-node 

J1&stasic492.164.0.40 

1 lysgld-noite 

[■)rs^ld] 

4 92.161.040 

1 JeitDfe-Tnnie 


Het configuratiebestand op de ma- 
nagemerttnode bevat alle voor clus- 
terbeheer benodigde gegevens, 

Als een cluster over twee locaties 
verdeekl is, dan onlwikkelen deze bij 
uitval van de netwerkverbinding twee 
zelfstandig fimctionerende delen. 
Aangc/icn geen van beide kan bepa- 
len of de andere defect of alleen on- 
bereikbaar is, moet een derde beslis- 
sen wclk deel als restc luster 
verdergaat. Deze scheidsrechtersrol 
kan de managementnode op zich 
ncmen. Deze kiesl een cluslcrhelft uit 
die de werking in stand houdt en 
schakelt de andere uit. Daartoe moet 
de manager vanuit een derde localic 
te werk gaan. Door fine-tuning van de 
configuratie kunnen andere uitvalsce- 
nario’s worden afgcdekl. 

Cluster is een relatief jong product 
in het MySQL-palet en ondeisteunl 
nog niel alle kenmerken van andci*e 
storage-engines. In de volgende versie 
staan verbeteringen van het geheugen- 
bchccr geplaiid, zodal groLere hoeveel- 
hedeii gegevens met minder moeitc 
kunnen worden bebeerd. Een andere 
toekomstige optimal i.satie zal de query- 
cache voor clustertabellen zijn, die lot 
nu toe nog niet is geYmplementeerd. 

KAI VOIGT 

IS informaticus en werkf als trainer en 
consulionf bij MySQL GmbH. 

Mfirng 2 

Ecinnectd ts lan^gEient it; locirhost; 11&6 
CLuittr C 4 infi|irri[i 9 n 

inmmm l n^dElS) 

i(l =2 aifJ.lftS.LJD {ttrsion: Nidegr&up: D. Bastfif) 

id=3 (Vfrsion; Ncdegrjupi D) 

lndb_HBid()lSl|}] 1 nodEls) 

id4- ai 27.11.0.1 Umkii: kA.W 
[irsqNUnn 1 

id4 ai?2.1i8.l].t(l iUnm: t.l.T2) 


ndb^mgm show toont de huidige toe* 
stand van het MySQL-cluster, ^ 
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Nieuw: NetOp On Demand Remote Control 

Uw helpdesk kent ineens geen grenzen meer en 
kan nu onbeperkt en overal ter wereld computers 
overnemen om ondersteuning te geven. 

Laien we eertijk zijn, soms is het veel makkelijker om iets gewoon zelf te doen. Geen lange uitleg- Geen 
mrsverstanden. Bij helpdeskondersteuning betekent dit een veel snellere opiossing van problem en, betere 
service an een grolere levredenherd van uw klanten. 

Dankzij NetOp On Demand, hoeft uw klant alleen nog maar een klein programnia van 650 KB te activeren via 
een ^i^k in een website of e-maiL Met NetOp neemt uw helpdeskmedewerker vervolgens de computer van 
de eindgebruiker over om het probleem te verhetpen. Na afloop worden autornatrsdi a lie sporen van NetOp 
On Demand op de computer van uw klant gewist 

Wanneer u werkt op het Windowsplatform, is NetOp On Demand misschien wel de snelste en voordeligste 
manier om de kwaliteit van uw dienstvedening te verbeteren, Maar zien is naiuurlijk geloven 

Vraag een gratis demoversie van NetOp On Demand 
aan op N0D.netop.com en probeer het zelf. 




NetOp OnDemand 
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Meer plezier bij het surfen dankzij betere teksten 

Prettig surfen 



JensJurgen 
Korff 

Usability-tests 
tonen aan dot 
een website 
gebruikersvrien- 
delijker is als de 
teksten daarop 
goed zijn. De 
basisprincipes 
voor goede 
teksten bestaan al 
long - Wikipedia 
en Google laten 
zien dot deze 
nog steeds 
gelden. 


D oor de veranderingen en de slccds 
grotere samenwcrking binnen de 
computcrwcreld en de consiimen- 
Icnelektronica wordl het duidelijk dal 
computers zich aan dc mens moeten 
aanpassen en niet amlersom, 'Joy of 
Use' k an all een ontstaan ais je het ge^ 
voel hebt dat: 

— hel ding jc bcgrijpt cn doet wat je 
will, 

- her ding Je biedt wai je nodig hebt, 

- jij de baas bent en het ding je knecht 
is (Nielsen 2004), 

Als je het al over een 'ding' hcbi en 
niet eerbiedig over een 'systeem' 
spreekt, dan heb je de eerste slap al 
gezet. De trias politica is cen systeem, 
de ev olulic van MHirten is ee n systeem, 
maar dat kan niet gelden voor een 
huipmiddel waarmee je geld naar een 
rekeningnummer kunl overmaken, 
Programmeurs moecen geen 'systemen' 
creeren, maar hulpmiddelen die cr zijn 
als Je ze nodig hebt, die doen wat je 


wilt en geniisloos weer verdwijnen als 
ze him taak hebben volbracht. 

Usability-tests 

beoordelen 

tekstkwaliteit 

John Morkes en Jakob Nielsen 
waren in 1997 de eersten die syste- 
matisch onderzoek deden naar hoe de 
kwallicit van een tekst het gebruik van 
een website beinvloedi. Jenas Jacobsen 
heefl in 2005 een vergelijkbare test 
met Duitse webteksten gedaan en be^ 
reikte vergelijkbare resultaten. In een 
online lest gebruikten 121 vrijwilligm 
Iclkens 6en van vijf versies van een 
website (27 pagina's) voor cen fictief 
IT-bedrijf, 

Versie A bevatte het gebruikeUjke: 
langdradige teksten vol met vakler- 
men, stilislisch slecht en nauwelijks in- 


gcdceld. Versie B was optisch uitge- 
breid met tussenkoppen, alinea's en 
overzichten. Bij versie C werd de tekst 
i>ok nog eens ingekort. Versie D had 
Jacobsen bewerkt volgens de klassieke 
regels van de taalkunde; korte zinnen 
in actievc, concrete formuleringen, 
minder zelfstandige naamwoorden en 
weinig vaktermen. Bij versie E werd 
de tekst minder zakclijk, maar sterk 
reclamegericht gemaakt, 

De deelnemers liadden bij versie D 
duidelijk minder lijd nodig (170 sec 
t.p.v. 219 sec bij versie A) oni bepaal- 
de content op dc website tc vinden. 
Ook bij een herinncringstesi behaalde 
A het slechtste restihaat. Deelnemers 
die de versies D of E hadden gelczen 
beoordeelden achtcrar de lotale kwali- 
leit van de website, de tekstkwaliteit, 
de usability, hun positieve gevoelens 
en de neiging om icts tc bestellen dui- 
dclijk beter dan bij de andere sites. De 
koopintentie steeg bij versie D bijvoor- 
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beeld met meer dan 4(> procent en bij H 
met ineer dan 50 procent vcrgeleken 
met A, 

Er zijn stilistischc en conceptuele 
methexien om de tekstkwalitcit te ver- 
beteren. De stilistische kwaliteit kun je 
vasistellen door punien te geven: je 
geeft een pluspunt vmr elke complete 
zin, cen punt voor elk actief werk- 
woord en een voor iedere ? ! ; : of 
Voor elk woord dat eindigi up -held, 
dng, -ily of -Ics trek je een punl af, wat 
Je ook duct voor elke samenstelling 
van twee zelf^landige naanrwoorden. 
Dc minpiinten richten zich met name 
op het omzeLten van een zeifstandig 
naaiiiwoord van cen aclie in cen werk- 
woord (dus 'Het bedrijf invcsleert„,* in 
plants van 'Investeriiig in../) en het ver- 
mijden van ab^straete Icnnen en veel- 
vuldige voorkomende zelfstandige 
naamwoorden. 

Tot de conceptuele methoden beho- 
len de omgekeerde piramide, het prin- 
cipc van teasen en verdiepen, het 
werken met trufwoorden en hypertex- 
ten - en de moed om spicektaal te ge- 
bruiken. 

De piramide op zijn 
kop 

Volgens een bekende Hchtlijn uit de 
journalisliek moet Je webteksten op- 
bouwen als cen omgekeerde piramide, 
met de conclusics aan het begin (Niel¬ 
sen 1996; Morkes & Nielsen 1997). 
Google en Wikipedia laten zien hoe 
zinvol deze richtlijn we I niei is. Goo¬ 
gle en andere zoekmachines proberen 


^-TRACT 

• Makkelijk te lezen en goed 
gestruclureerde teksten zijn 
mede bepalend voor het 
5ucces van een website. 

• De lezer moet de belangrijkste 
boodschop van een leksi 
meteen begrijpen en trefwoor- 
den moeten de oandocht von 
de lezer in de gewenste rich- 
ting sturen. 

• Hypertexts geven door zinvo) 
gebruikte links de ieier de 
mogelijkheid door verder te 
lezen waar zijn interesse hem 
noortoe leidt, zonder dot de 
outeur van de website ze noar 
een richting dwingt. 
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Zo doen de New York 
Times en F&L hett thema's 
teasen en verdiepen 
(afb, 1), 




om de website die de vraag van de ge- 
hruiker het snelst en best beantw(K>rdt 
ais eerste treffer van een resultatenijjst 
weer te geven. Wikipedia representeert 
dc op internet gebaseerde wederge- 
boorte van dc cncyclopedie. Elk artikel 
is een omgekeerde piramide: eerst ver- 
meldt een hele of halve zin wat X is - 
en pas daama slaal hoe X werd wat het 
is; wat X ook nog zou kunneii zijn; wie 
gczegd heeft dat X precies dat is en 
hoe deze conclusie bereikt is, 

Het is belangrijk ojit duidelijk te 
maken welke twee drempcls je als 
auteur moet overwinnen om zo te kun- 
nen schrijven. Dm zijn met name de 
neiging om het complete vcrhaal te 
vcrtellcn 6n de neiging om jczcif tc 
rechtvaardigen. Bciclen leiden er toe 
dat je iedere kcer weer bij Adam en 
Eva aJs uitgangssituatie terechtkoml en 
pas na ettelijkc tnnzwerviiigen bij het 
eigenOjke onderwerp cn dc conclusie, 
Vanuit het gezichtspunt van de lezer 
zijn er maar weinig gevallen waarbij 
het aan te raden is om je over le geven 
aan de eerste neiging (een historisch 
boek. cen roman, een getuigenverkla- 
ring, een psychoanalyse of een biecht) 
- en waarschijniijk zijn er heleinaat 
geen voor de Iweede. 

De omgekeerde piramide is in zeke- 
re zin een interactief hulpmiddel omdat 
dc lezer daardoor de keuze krijgt om 
afhankelijk van zijn belangstelling 
door te lezen na de eerste alinea of 
naar een andere pagina op zoek te gaan 
zonder dat htj bang hoeft te zijn dat hij 
de belangrijkste informatie mist. 

Op een overzichtspagina staan dan 


de eerste alinea's (lees: conclusies) van 
een aantal omgekeerde piramidcii. De 
rest van de tekst met meer diepgang 
staat dan op een vervolgpagina. Deze 
versehijnt pas als dc geinleresseerde 
lezer op een link klikt ('meer", 'lees ver- 
der* of de tekstkop zelf dient als link). 
Zulke korte teksten worden aangediiid 
ais leads, teasers of chunks. Dat deze 
methode wcrkl, bewijzen de startpagi- 
na^s van bijna allc grole nieuwssites, 
/.oekmachines en newsfeeds. De 
resultatcn van de zoekmachines zijn 
aiitomatisch gcgcncreerde overzichts¬ 
pagina's met (meer of minder goede) 
teasers die ieder weer een website re- 
presenteren. 

Centrale rol voor 
trefwoorden 

De mecsle webgebnjikers zijn 
vluchtige bezoekers: ze doorzoeken 
een website en gebruiken hierbij bc- 
paaldc Ircfwoorden die ze van tevoren 
al bedacht hadden (Nielsen 1997). Dit 
gcldt met name als ze die trcfwotjrdcn 
eerdcr in een zoekmachine hebben in- 
getypt en van daaruit naar die website 
werden doorverwezen. Het effect van 
webtekst is dus direct afhankelijk van 
het antwoord op dc vraag: welke tref¬ 
woorden zouden gebruikers verzonnen 
kunnen hebben die iets met dez^ web¬ 
site te maken hebben? Het is dan ook 
handig voor zoekmachines en bezoe¬ 
kers als de trefwoorden in koppen, tus- 
senkoppen, tckstlinks en in de lopende 
tekst (daar bij vtxirkcur vet weergege- 
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Hypertext 

Froqi Wikipediaj the free encvdopedia 


In computing, hypertext 15 a user ■nterfS'Ce paradigm for displaying dociimei 
Of perform on request." The most frequently discussed form of hypertext dot 
called hyperlinks. Selecting a hyp^dink causes the computer to display the li 

A document can be static (prepared and stored in advance) or dynamically ; 
weth cons true ted hypertext system can encompass^ incorporate or supersed 
lines, and can be used to access both static collect ions of cross-referenced 
applications can be local or can come from anywhere with the assistance of 
implementation of hypertext is the World Wide Web. 

The term ’‘hypertext* rs often used where the term hypermedia would be mor 

Contents [hide] 

1 History 

2 Implemeritatiofis 


Nief alleen Wilcipedio is een hypertext, oolc gedrukte lexica vollen in deze 
cotegorie en zijn jyist daarom zo populair [afb. 2), 


ven) staan. 

Zockmachincs sorteren liet web aan 
dc hand van trefwoordcii. Lexica als 
Wikipedia sorteren hun complete ken- 
nis op trcfwcwrden. Dexe twee feilcti 
geven de centrale rol van lossc woor- 
den aan op plekkcn waar |;egevens 
interactief worden aangeboden. Ge- 
drukte Lexica zijn a) sinds dc 1 He ceuw 
cen bekend inicracticf medium. lief is 
inimcrs dc Iczcr die I'vepaalt waar hij 
met lezen begin! en waar hij heen bla- 
dert. Omdai dc Iczcr op dat moment de 
baas is cn het lexicon de knecht, is hcl 
bladeren leuk. 

Woorden linken 

Een encyclopedic is een vroeg voor- 
beeld van hypertext. Bijna elk artikel 
be vat verwijzingen naar anderc arlike- 
len, De links op het inlcmet hebbeii liet 
alleen maar makkelijker gemaakt om 
cen verwijzing te volgen. Het is gecn 
toeval dat Wikipedia zo georganiseerd 
en geprograinmeerd is dat de woorden 
van ozn nieuw ingevoerde lekst auLomu- 
ti.sch gekoppeld warden aan de gelijkna- 
mige Irerwoorden en lexiconartikeien. 
Elk gel ink! woord is nu een leaser, cen 
uitnodiging om aan te klikkcn en je ken- 
nis verder uit le breiden. 

Hcl is altijd weer verbazingwekkend 
hoe weinig conimerciclc webpagina's en 
hulppagina's van software gebruik 
maken van het hypertextprincipe, dal 
t<x:h de eigenlijke essenlic van het inter¬ 
net is. Een uit/ondering als Amazon be- 
wijsl met succes dat de nieesle webgc- 
bruikers genieten van de vrijheid die m 
krijgen door het linken van leLsten (zie 
Morkes Sc Nielsen 1997), Tijdens dis“ 


cussies is er aliiJd wel iemand die be- 
denkingen heelt tegen hypertext: de 
lezer weel missehicn niel of hij alles 
heeft geiczen, terwiji de auteur er aan de 
andem kant geen conin>le over heeft of 
de lezers alles hecl'l gelezen waarvan hij 
vindt dal de le/er dal zou jmx;ten Iczen. 
Tenslotte weien gebniikei's niet /jcker of 
een tekstlink naar een uitleg van het 
wtKwtl of naar een nieuw onderwerp 
leidt, Een belangrijk pniklisch bezwaar 
zou de werkvcRJeling in cen bedrijf kun- 
nen zijn. De auteur van een pagina wcei 
niet wat cr op anderc pagina's staat, 
omdat deze van een anderc afdeling af- 
komslig zijn. Veel webdesigners houden 
er niet van als gekleurde links hei 
gelijkmatige zwartwitpatrtK>n van de 
lekstblokken versioren, bovendien ver- 
anderen de links de kleur op onvmirspeL 
hare wijze zodni een gehruiker deze 
aanklikt. 

Jakob Nielsen voeit het idee van ver- 
schillend ingekleurde links nog verder 
door: een geavancccrdcre hypertext zou 
bijvoorbecld in de browser interne en 
exteme links verschilleiid kunnen weer- 
geven, links naar betaalde aanbiedingen 
anders kunnen weergeveii en zelfs on- 
derseheid kunnen maken tussen vi>or- en 
tegenstanders in een bepaalde discussie 
(Nielsen 2tM)5). 

Spreektaal 

Amerikaanse astronoinen noemden 
een zeer gn)te telescoop gewoon 'zeer 
grtiLe telescoop' ('Very Large 7 clescope, 
VLT), De Amerikaanse usability-exi^en 
Donald Norman gaf een van zijn artike- 
len dc titel 'Als her niet goed voclt, wat 
maakf het dan uit of het werkt? (If it 


doesn’t feel right, who cares if it 
works?'), Duifse collega's kozen daaren- 
tegen voor hetzelfde onderwerp de titel 
Tledonics and Usability: Die BedeuL 
samkeit von Joy of Use und PIca.surahi- 
lity fiir Usability Professionals' (Iledo- 
nics and Usability: de betekenis van Joy 
of Use cn Pleasurability voor Usability 
Professionals, Langwilz & Hatscher 
2004). 

Wat hij het lezen van leksLcn van 
Amerikaanse special islen vaak heel 
prettig is, is dal ze pmberen te schrijven 
in de eigen spreektaal. Bij het lezen van 
Icksten van Nederlandse cn Duiise spe¬ 
cial isten woidl het plezier vaak vergald 
door de nciging lot een laatdunkend, for¬ 
med academisch taalgebruik, wat niet 
beier wordt als de Ncdcriantlse, Latijn- 
se of Cricks ahstracte begrippen die 
vroeger normaal waren vervangen wor¬ 
den floor Engelse. Vcriaal Amerikimnse 
spreektaal gewtxm naar Nederlandse 
spreektaal en de tekst wordt vaak al cen 
stuk prettiger om le lezen. ^ 

JENSJORGEN KORFFMA 

wefkt als zelfslandig copywriler Bn ver- 
iQolr Jakob Nielsens /Mefibox ieksien noor 
he! Duiis. 
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IPv6 (deel 1): de praktijk 

Orientatie 


Benedikt 

Stockebrand 

Als je IPv6 wilt implemente- 
ren moet je een paar hin* 
dernissen overwinnen. 

Deze workshop helpt je met 
de oltijd lostige eerste stop- 
pen. 

I n het begin van de janen 90 werd al 
snel duidelijk dat dc adresruimte van 
hot internet op den duur niet vol- 
doende mu zijn om te voldoen aan de 
groeiende vraag naar adressen, Dc IETF 
1993 (Internet Engineering Task Force) 
richtte vervolgens de werkgroep IPng 
(IP Next Generation) op met als doel- 
stelling om een opvolger voor het IP- 
protocol te oniwikkelen. Het resultaat is 
IPv6. Dit biedt echter vecl mccr span- 
nende Teatures dan alleen die grotere 
adresruimte. Het nieuwe protocol is oii- 
dertussen nog niet wijd verbreid, omdat 


de krapte aan adressen is ondervangen 
door NAT (Network Address Transla¬ 
tion). 

Intusscn is hcl pn)bleem - voomame- 
lijk in het Verne Oosten - echter zo 
g\-Qoi geworden, dal IPv6 heel gelcidc- 
lijk loch wordt ingcvt>ciid. Ook in ons 
land hebben de nietiwe features de inte- 
resse van providers en producenten ge- 
wekl en zijri cr in het vcrleden tal van 
Testbeds* als 6NHT, GigaPort en Surf- 
works opgestart. Logisch, want Voice 
over IP en met name tK>k multimedia* 
toepassingen vtxir het net en mobiele 
appamten met internettoegang kunnen 
alleen bij het gn>lc publiek doorbreken 
als er vaste, individuele IP-adressen 
voor zijn. 

In deze scric artikelcn demonslreren 
we de opbouw van een lPv6-infrastruc- 
tuur met behulp van de gangbare 
Unix/LinuX'Systemen. In het eerste deel 
bcschrijven we hoe je een lokaaJ net- 
werk met IPv6 inricht. Het tweede deel 
(vanaf pagina 64) gaat vc.K>mamelijk 
over zaken rond DNS (Domain Name 
Service). In het derde en laatste deel in 
de volgende iX zullen we latcn zicn hc^e 
andcre belangrijke diensten geschikt ge- 


maakl kunnen worden voor IPv6, zoals 
bruggen tussen de IPv4- en de IPv6- 
wereld. Ook lees je daar hoc Je vcrschil- 
lendc lPv6-eilanden via tunnels door de 
IPv4-wereld met elkaar kunt verbinden. 

De eerste stap is het omzctlen van 
alle pc’s in hcl nelwerk naar IPv6. Hier- 
vtK)r mod je de strucruur en notatie van 
een IPv6-adres kennen, 0[ndat de adres- 
configuratic met IPv6 gewoonlijk anders 
vcrltKipt dan bi j IPv4 is het handig oni 
eerst de automatische configuratie aan te 
zetten. Vervolgens kun jc de muting tus¬ 
sen de vcrsehillende subnetten configu- 
reren. 

Verschillen tussen Unix- 
versies 

De implemenlatie van IPv6 verschill 
voor verschillendc Unix* cn Linux-sys- 
tcmcn. Wij nemen als vtx)rbeeld Debian 
34 (‘Sarge’), Fedora Core 4 (‘Stentz’), 
FreeBSD 6, NdBSD 3, OpcoBSD 3.8, 
cn Solaris l()/x86. Dal moet voor andere 
systemen ook genoeg aanknopingspiin- 
ten geven; Je kunt rK>k altijd nog de sys- 
tccrndoeumenlatie raadplegen. 

Sun heeft al in een vroeg stadium een 
eigen implcmcnlalie van IPv6 vtx>r 
Solaris ontwikkcld, waardwr IPv6 ste- 
vig in het systeem is vemnkerd, 

Hoewcl bij dc vcrsehillende versies 
van BSD al een paar jaar een onderling 
onafhankelijke ontwikkeling van IPv6 
plaatsvindl, is het systeem wat configu- 
ratic en gebruik hetreft ltx:h achtergehle- 
ven. De drie versies gebruiken de IPv6’ 
implemenlatie van het Kamc-pn)Ject 
(Japans v(H>r sehildpad). De onderlinge 
verschillen zitten in de naamgeving van 
de variabelen in /eit/rcx'onf. De imple- 
mcntalie isongeveereven vergevoRJerd 
als bij Solaris. 

Linux loopt altijd wat achlcr op Sola¬ 
ris cn de BSD’s. Dat koml met name 
d<x)rdat het IJSAGI-proJect (Japans voor 
konijn of "Universal Playgrt^und for 
IPv6*)»dal lot drx:l heeft om allc (inthre- 
kende of onvolledige IPv6 ondersteu- 
ning in Linux bij te werken, dc huidige 
IPv6-implemcnlaties van het KAME- 
prqject voor FreeBSD volgt. In de 2,6- 
kernels is de IFv6-ondci‘steuning in- 
middcls echter dusdanig good dat 
USAGI voor haar eigen patches het 
IPv6 Ready Logo (Phase 1) mag gebrui- 
ken. Dat logo waarborgt dal priKlucten 
de verplichte kemprotocollen van IPv6 
ondersteiijien en met IPv6-equipmcnt 
kunnen samcnwerken. USAGI brengt 
weliswaar van ti jd tot tijd snapshots uit 
tegen de huidige vaniila-kerneis, maar 
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IPv6-tutorial 

Hel eisrslc dcet bcschrijfl de corifigu- 
ratic van roidcr^i en hosts, 

Dcel 2 behandeli bet imicllcn van DNS 
ondcr IPv6. 

Decl 3 bescSjrijft bet gebruik van anderv 
belangrijkc nclwerkservices en de intc- 
gratie tussen IPv4 en IPv6. 


nict name voor kernel 2.4 zijn dc patches 
nog te grtxU t)m in een keer gemerged te 
worden. De ondersteuning in 24 is dan 
ook duidclijk minder volledigdan in 2.6. 
Desondanks i.s de aanduiding ‘experi- 
menteel’ in de Dchiaii-2.d-kemels wel 
wat a! te pessimistisch. In icgcasielling 
tot de BSD-versies ondei'scheiden Dc- 
bian en Red Hat/Fcdora /Jeh in ie<ier 
geval van de rest door ocn bclux>rlijke 
intcgmiic van IPv6 in het systeem. Peter 
Bieringer hecit een uitgebneide (Engels- 
lalige) IPv64Iowtogesehreven [I]. 

Parallel gebruik van IPv4 
en IPv6 

TPv4 en IPv6 /Jjn prima pcirallel te ge- 
bruiken. In het begin van dc jamn 90 be- 
stonden cr a) zoveel lPv4“Systemen dal 
de lPv6-ontwikkclaars een manier moes- 
ten bedenken voor een gclcidetijke tni- 
gratie zondcr hard onischakelpunt. Dal is 
zeker voor migralies bintien bestaande 
productiesystemen van gniol belang. De 
ontwikkclaai*s van IPv6 hebben vecl 
moeite gedaan om er voor te zorgen dat 
deze vlotte migratie txik daadwerkelijk 
mogelijk is. 


Jl-TRACT 

• In hel tijdperk von indtviduele en 
mobiele opporoten mef een con¬ 
tinue internetverblnding komt 
IPv6 weer in beeld bij gebrui- 
kers en providers. 

• IPv6 kon geleidelijk in lPv4-net- 
werken ingevoerd en in een 
later stadium kon IPv4 in een 
IPv6-omgeving toegepast blijven 
worden. 

• Noost het tekort aon odressen 
lost IPv6 nog meer problemen 
von het huidige internet op, 
waoronder de complexe uilzon- 
deringsregels voor interne odresr 
sen. 


Als eerste stap is het aanlcggen van een 
pure IPv6-omgeving hei overwegen 
waard. Zondcr IPv4 weet je zeker dat er 
geen onverwachte communicatie via een 
lPv4-omweg plantsvindt. H«k;wcI IPv 4 
en IPv6 onafhankelijk van elkaar gecon- 
figureerd kunnen worden, kan IPv4 ook 
ingcsteld worden via een ‘dual stacked 
node’. 

Op dual-stack-sysLcmcn bestaat een 
klein probleem in de samenworking met 
een paar gangbare webbrowsers: bij lici 
laden van cen pagina zoals 
www.kame.net, waarvoor zowcl een 
IPv4- als een IPv6'adi-es bekend is, blij¬ 
ven sommige browsers leeg als er geen 
lPv6‘aansliiiting is met '■Inlcniei6’. Dit 
six>rt gevallen moet je verhelpen dixir bij 
de BSD-versies 

# route delete 'inet6 default 

bij Linux 

# ip route delete ::/0 

en tenslottc bij Solaris 

route delete *inet6 defoult <gofewoy> 

Llit te v<K;rcn, waiirbij <gateway> het 
adres van de standaardgateway is. 

De eerste proeve van be- 
kwaamheid 

Om te testen of cen Unix geschikt is 
voor rPv6, is het in veel gevallen al vol- 
doende om het commando 

ifeonfig -a 

uit Ic voeren. Als er in de output van de 
loopback interface een *inet6* opduikt is 
hel systeem in principc geschikt voor 
IPv6. 

Allecn als Unix de fysieke interfaces 
pas na het opstarlcn dynamisch op- 
bouwu is het nodig om expUcict ifeonfig 
<mterf£i€e> inc't6 create, ifeonfig 
<mterface> inet6 plumb of lets verge- 
lijkbaars uit te voeren. 

In dat gcval zou de man-page vtKir 
ifeonfig je vender kunnen heli>en. Linux 
cn de BSD“Versies herkennen dc fysieke 
interfaces al bij het booten cn maken 
deze ook aan. In Solaris moet Je nog 

# ifeonfig penO inet6 plumb 

uitvoeren om dc poort penO aan tc 
maken als er bij het opslaiteii nog geen 
overeenkomstige configuratie bestaat. 

De BSD's hebben een nienwe kernel 
nodig als een ifeonfig -a geen resultaat 
oplevert; de standaardkemel (‘GENE¬ 
RIC’) is in ieder geval geschikt voor 
IPv6. 


Als bij Linux een ifeonfig -a zonder re¬ 
sultant blijft, 7.al 

# modprobe ipv6 

de ondersteuning vtxir IPv6 naladen. Als 
dal nict werkt, moet je een andcrc kernel 
installercn of zclf bouwen. Bij de kernel- 
conftguratie van Linux zorgen de opties 
‘CtxJe Maturity l^vel Options - Prompt 
for Development and/or incomplete 
code/drivers=YES’ en ‘Networking op¬ 
tions - The IPv6 pnX{K;ol=YHS’ er voor 
dat dit op de juiste manier gebeurt. 

Bij ftebian heb je in ieder geval een 
nieuwe kernel nodig met IPv6-onder- 
stcuning 13]. Bovendien ontbreken bij dc 
iniiiimale installatie dc pakketten iputilx- 
ping^ iputils-tracefxith cn iprouie: die 
moet jc bier meteen na-insialleren. 

Bij Fedora wordt de IPv6-module au- 
tomatisch bij ieclere rebtx>t geladen ais je 
in /etc/!iysconjlg/nenvork de volgcnde 
regel /ct: 

NEWORKING_IPV6^yes 

Genoeg adressen voor ie- 
dereen 

IPv6-adressen zijn long,erg lang.Ter- 
wijl het in de processorwercid zo nu en 
<lan vtxirkonit dat de adreslengle hcxig- 
uit wordt verdubbeld, wordt bij de over¬ 
gang van IPv4 naar I Pv6 de adres lengte 
maar liefst verviervoudigd: !Pv6-adres- 
sen hebben een lengte van 128 bits, dus 
16 bytes (of eigenlijk NicteUen’). 

Ook de notatie van de adressen is ver- 
anderd: iPv6-adressen worden hexadeci- 
maal geschreven met na ieder tweede 
byte een dubbele punt. Die siaan dus na 
ieder vierde hexadecimaal cijfcr 
(‘nibble’). Een vixirbeeld vind Je in het 
bovenste deel van afbcclding L I let 
wordt dan (x>k tijd om afscheid tc nemen 
van de decimale schrijfwijze met octet- 
ten die door pun ten van elkaar worden 
gescheiden. 

Om hel wat eenvoudiger te maken, 
mag je nullen weggclalcn als die aan het 
begin van cen blok sbian. Alleen als een 


fe80:0000: 0000:0000:0202: b3ff; fa8c: bbf4 


fee0:0:0:0:202:b3ffrfe8e:bbf4 

feF0::202:biH:fe8e:bbf4 


IPvd-cidressen hebben door dubbele 
punten gescheiden blokken von twee 
octetten in een hexodecimale nototie. 
Nullen in dit odres kun je inkorten of 
wegloten (afbeelding 1], 
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bkvk de waarde nul hccll, ht)ef je maar 
een 0 te schrijvcti (middelste deel)* Bo- 
vendien is hel toegestaan om maximaal 
ccn reeks van nul-blokkcn le vcrvangen 
door twee opeenvolgcnde diibbele pun- 
ten (oiidcrste tleel van de afbeeldtiig). 

Adresprefixen kunnen net als hij IPv4 
met een schuliie streep cn het aantal re- 
levante bits in deciinale notatie worden 
wcergegeven, dus bijvoorbccid re8(>::/64 
voor de range 

Aon de lijn: scopes 

lPv6-adressen hebben aitijd cen vast 
gcldigbcidsbereik, de 'scope"- De ‘link- 
local scope’ gcidi alleen binnen een sub¬ 
net en dieni met name voor de interne 
communicatie binnen dc IP-laag. De 
‘global scope" gcldl voor het hele 'inter- 
nci6" en de 'site-local scope’ binnen cen 
‘site". 

Omdai hci begrip ‘site’ niet duklelijk 
gedennieerd is en vanwege negalieve er- 
varingen met de IPv4-ranges I().t).0,0/8, 
172J6.0,0/I2 cn 192.168.0,0/16 voP 


ADRiS PREFIXEN 


2001:db8::/3 2 
2002 ::/! 6 
fe80:,..4ebf:... 
fecO:,,. feff:.,, 

ffx } ::/l 6 
ffx2::/16 

ffx5::/1 6 
ffxe;;/l 6 


globaol geroute unicost-adressen ("aggregotable 
global unicast addresses') 
APNIC-voorbeeldadressen voor documenlatie 
6to4’tunneladres5en 
link'locol unicast adressen 
sitedocol unicost'Odressen 
permonente multicost-ad ressen 
transient muUicast'odressen 
node4ocol multicasts 
link4ocol multicasts 
site-local multicasts 
global scope multicasts 


unica$f- und anycast-cidressen 

:: een ongedefinieerd adres (^unspecified ad¬ 

dress") 

::1 het loopback-adres 

<subnet'prefix>:0.-.0 subnet-router onycast 


mulficcist groups 

f0[12]::l all nodes node-local/link^loca! multicast group 

ff0[125]::2 oil routers node-locol/link-local/site-locol multicast 

group 


De delinttfe van iPvt voonief, net als die van IPv4 in gereserveerde adressen 
en adresbereiken (tabe) T). 


gens Rb‘C 1918 [2], die complexe cn 
foutgevoe 1 i ge u i tzonde ri ngsbc hande I i n- 
gen nodig licbbcn, wordi nu geprobeetd 
om vm>r unicast-adresi^en van de site- 
lLx:al scope af te zien en deze te vervan- 
gen door iets dal biennee rekening 
houdi. Site-focal adressen blijven duar- 
om buiten beschouwing, 

Duidelijke grenzen: uni¬ 
cast-ad res sen 

Net als bi j IPv4 zijn ‘normalc'' IPv6- 
adressen uniciisi-ada'sscn, die aitijd aan 
maximaal een inlcrfacc toebehoren, Af- 
beelding 2 laat zien dai unicast-adressen 
bij JPv6 een rigidetie opbouw hebben 
dan IPv4: de eerste 64 bits heten ‘sub¬ 
net-prefix" en geven aan wat hei subnet 
is waarin de interface zich bevindt, De 
resterende 64 bits heten ‘interface ID’ en 
identificeren een interface binnen 
een subnet. 

Het van lFv4 bekende subnetmas- 


ker is bij IPv6 dus aitijd ingesteld op 
/64. Uitzondcringen zijn unicasl- 
adressen me I de prefix :r/3, die dus 
met drie nul-byles beginnen; dat zijn 
in principe de loopback-adlessen ::1 
cn hel ‘unspecified address' die 
dienen voor protocol interne doefein- 
den. 

Voor globaal geroute adressen is 
de subnet-prefix nogmaals onderver- 
deeld in cen 'global routing prefix’ 
en cen ‘subnet ID’. De global routing 
prefix adresseert een eindgebruiker- 
netwerk, het subnet ID adresseert hel 
bijbehorende subnet. 

RFC 3177 [2] legt vasi dat de glo¬ 
bal routing prefix nominal gesproken 
48 bits umvai en dat er dus 16 bits 
bcschikbaar zijn voor het subnet. Dat 
geldt ook voor prive-gebruikers, die 
daarmee dus over 65.536 eigen sub- 
ncllen met statische IFv6-adressen 
kunnen beschikken. Tabcl I geeft een 
overzicht van de belangrijkste adres¬ 
sen en adresbereiken weer. 



Globol Routing Prefix Subnet ID Interface ID 


Subnel Prefix 

IPv6 kent in tegenstelling tot IPv4 geen flexibele netwerkmoskers, rnoar goat uit von 
een 644irt5 network- en een 64-bit5 inferface^leef von een adres (ofbeelding 2). 


Een interface, veel adres- 
sen 

tPv4 overschrijft bij het conflguremn 
van een adres hel bestaande adres. IPv6 
vocgl het nieuwe adres aari een bestaand 
adres toe. Dit komt door dc manier 
waarop een IPv6-interface de adressen 
‘vindl". 

ledere ethe met interface stcit bij het 
initialiseren een link-local adres in, dat 
wordt saincngesteld uit de prefix 
reK0::/64 en bet ethemet-MAC-adres dat 
is uitgebreid van 48 naar 64 bits. In een 
normale lPv6-omgeving komen daar 
nt)g meer adressen met groteiv scopes 
bij. 

Multicasts: maar nu goed 

IPv6 ondersieunt net als IPv4 multi- 
casts. In tegenstelling lot IPv4 zijn 
muUicasl-adrcs.sen bij IPv6 echtcr fij- 
ner gestructurcerd. 

AlTieelding 3 laat zien dal multi- 
cast-adressen aliijd beginnen met de 
prefix nT)0::/8. Daarna voIgt dc 
‘tlags’-nibble, die bepaall of cen adres 
permanent vergeven en dus gereser- 
veerd is vt>orde hetreffende standaard, 
daarna komt de scope-nibble, die de 
scope van hel adres definieert. De re.st 
van het adres hepaalt de multicast 
group ID. Dankzij de scopes zijn mul¬ 
ticasts zo veelzijdig dal broadcasts 
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IPv6 en Windows XP 


ovcrb^Klig zijn. TPv6 vt>or/iei dan CH>k 
nicL in ba>adcasts. 

Try-out 

Met (ie Unk-local'adrcssen kunncn 
computers in een subnet elkaar 
‘pingcn". In Linux en dc 13SD-versies 
beslaat daar het eigen commando 
pitig6 voor, in Solaris ondersteunt het 
standaard ;?m^-coiT!iTUindo ook IPv6. 
Met ifcofifig -a kun jc zicn welke 
lPv6-adressen op een computer inge- 
steki zijn. Voor iedere interface die 
met IPv6 Dverweg kan, mod niin- 
stens een link-local-adres *fe80:*..’ te 
zicn zijn cn werken. Als een interface 
nog niei geschikt is voor IPv6, dan 
kun je met 

# ^fcon^ig <mterfoce> ineE6 up 

in iedergeval verder. Alleen btj Sola¬ 
ris is hicrvoor wellicht 

# rfconfig <intirfoc«> inet6 plumb 

nodig voor het dynamisch aanmaken 
van dc interface. 

Omdal link-loeal-adressen op allc 
interfaces dezelfde prefix hebben, 
weet een computer nict via welke in¬ 
terface hij een pakkd naar cen link- 
locakadres meet sturen. Daarom 
mod jc een interface opgeven, hij 
Linux en BSD met dc optic -/ 
<interface> en bij Solans met -i 
<interface >. 

Bij adressen die cen andere scope 
hebben hoef je geen interface aan tc 
geven: pingcii naar het localhost-adres 
:: 1 zou al voldocnde mocten zijn. 

Nodes, hosts en router 

Appai'aten die overweg kunnen met 
IPv6 worden in het algemeen * nodes" 
genoemd. Deze zijn in twee catcgoricen 
onderverdeeld: een ‘router" is een appa- 
raat dat lPv6-pakketten aanneeint die 
niet voor hem/elf bcdocid zijn en deze 
pakketten doorstuurt. Alle andere nodes 
zijn ‘hosts". Dit onderscheid is belang- 
rijk,omdat adrespreOxen alleen gebruikl 
kunnen worden op de routers, terwijl de 
interface ID’s door alle nodes zelfstan- 
dig uitgekozen cn ingestcld kunnen 
worden. 

Op een router kun je de subnetpre- 
bxen dus cxplicict configureren. Boveii’ 
dieii moet op iedere router een ‘ixiuter 
advertisement daemon" I open, waar 
hosts bij hcl initialiseren van een inter¬ 
face naar een geldig subnetprenx kun- 


Windaws XP ondersteunt in prlncipc 
ook IPv6. Voor dc configuratie kun je 
alleen het commando nmh gebruiken. 
Je kuni via het ConfiguratLescherm wcl 
dc ondcrsleiming voor IPv6 activeren, 
maar mccr oplics vind Je daar ook niet, 

Alle instcllingen die je maakt met net^h 
biijvcn ook nii cen rch(x>t bewaard. 

Als Service Pack 2 gcYnstalleeal is, acti- 
veerje met 

c:> netsh Intedoce (pv6 instoll 

de IPvfKstack en stcl jc dc computer in als 
hosl. 

Als er in hctzclfdc subnciwerk een Adver¬ 
tising Router aanwczig is, zou dc output 
van zowel 

c:> netsh interface ipv6 show address 
als 

c:^ ipconfrg /all 

mueten laten zicn of de aangesJoten inter¬ 
face zijn ad res automatisch geconfigureerd 
hccfl. DaarbiJ moct Je wellicht wat geduld 
hebben: blijkbaar wcrkl dc Router Solici¬ 
tation riiet heleimtal betrouwbaar, zodal dc 
auioconfigiiraiie pas luki hij de volgende 
Unsolicited Router Advertisement, 

XP is ook in tc stcllen als Advertising Rou¬ 
ter. Daarttje configuieeri 

c:> netsh interface ipv6 sel address 4 

200 l:dbe::f 00 

nen vragen. 2o"n ‘advertising router" 
beaniwtKtrdl dc aanvragen van hosts die 
een interface widen initialiseren en om 
prefixen vragen. Bovendien stuurt hij rc- 
gelmatig cen actueel overzicht van gel- 
dige subnetpreflxen naar allc hosts. In 
het betreffende kader kun je tot in detail 
lezen htx: cen router onder Unix gecon- 
figureerd wordL 

Om adresprefixen te kunnen behcren 
hoe ft cen n>uter niet per se meerdere in¬ 
terfaces te hebhen cn zelf pakketten 
door te sturen. Voorol bij de eerste expe- 
rimenten met IFv6 is het handig om 
‘eenkennige" n>utcrs te gebaiiken die 


allcrccrsi het statisch adres 2tMJI:db8:: 
fDO voor interface 4. wat - afhankehjk 
van de hardware- cn drivcrsamens tel ling 
- de LAN-interface is. 

in tegcnstclling tot Unix moelen er ook 
voor direct aangesloten subnet werken 
routes worden ingesleld met 

c:> nelsh ii^lerface ipv6 odd route 
2001 :db8::/64 4 publlsh-yes 

om in dii geval de prefix 2001rdb8::/64 
aan inlerface 4 te koppelen. ‘Normale’ 
routes zijn in le siellen met bijvoorbceld 

a> netsh interfoce fpv6 sel route 
2001:db8:l::/64 4 2001:db8::feed:l 

waarhij 2001 :dbH::feed: I het adres van 
de dcsbclreffende routers voorstelt. waar 
de prefix (hicr 2001 :dbK: I ::/64) naar ge- 
routet moet worden. Het is wederom ex- 
pMciet nodig om de interface (hicr 4) aan 
te geven. 

De ingevoerde routes zijn te control eren 
met 

c:> netsh interfoce ipv6 show route 

XP ondersieiini echter geen dynamischc 
IPv6-routing. Bovendien kan XP geen 
DNS-vcrzockcn via IPv6 versturen, 
zodat er op dit moment noodgedwongen 
alleen ‘dual-stacked‘ gewerkl kan wor¬ 
den. 


binnen cen subnet prefixen gebruiken, 
zonder mctccn cen onbesehcmide ver- 
bindiiig met *intemet6’ te maken. 

Bijna zonder configuratie: 
hosts 

Een host die een interface initiali- 
seert, bepaalt eerst een interface-ID en 
maakl daar met de prefix fe80::/64 een 
link-local adres van. Vervolgcns vraagt 
de host in het subnet aan de aangesloten 
R>uterK naar een subnet-prefix, waarmee 
samen met dc tnlcrfacc-lD automatisch 
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Mullicosi Group ID 
Scope: 1 = Imerftice-Locotj 2 = Ltnktocal, 5 = Site-Local,... 

Ftags: 0 ^ pemiar>ent, 1 = trorsient 

IPy6"multicasLodre5seii beginnen altijd met 'ff\ Het concept is lo veelzildig^ 
dot speciale broadcasts niet meer nodig zijn (afbeelding 3). 
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Om een router in te kumien i^lellen moct 
iP\'6 ingeschakeld zijn, moel hct forwarden 
van pjikkcttcn locgestaan zijn* moeten de 
adrcsscn of dc adrcsprefixen geconfigureerd 
zijn cn moet de Router Adveriijiemeni gem- 
sialleerd zijn. Na een nebool zou dc compu- 
ler dim moelen siartcn als ‘Advertising Rou- 
terV. 

Debian 

Voor Debian is een kernel nodig die IPv6 
ondersteunt, evenals rculvd, dat als package 
in de distribution wordt mccgcleverd en 
waarvan hct startscript ook de forwarding 
inschakclt. Dc adresseii van een Debian- 
router staan in /etiinenvork/interfdces cn 
zien er als volgl uii: 

auto elhO 

ifoce ethO inel6 static 
address 2001:db8::feed:l 
nelmosk 64 

Dc rouier-advenisemeni is onafhankdijk 
daarvan te configuremn in /eic/radvd.cOftf 
met bijvoorbceid 

Interfoce ethO 

1 

AdvSendAdvert on; 
prefix 2001:db8::/64 { }; 

}; 

Fedora 

Ook Fedora hccfl radvd nodig. Ondersleu- 
ning voor lFv6 en forwarding krijg jc in 
/i'tvhy\samfig/tietwork mcl 

NETWORKINGJPV6=yes 

IPV6F0RWARDiNG=yes 

lPV6_ROUTER=yes 

waarbij je moci leiicn op dc inconscqucnic 
schrijfwijzc mcl soms wcl en soms geen 


cen compleet IPv6"cidres wordt ge- 
inaakt, dat op de interface wordt inge- 
steld. 

Hen host is dus redelijk eenvoudig tc 
configuieren, de specifieke deiails v(M>r 
enkele gangbare Unix-versies staan in 
hct kader op pagina 61. De essentie is 
dat er in tegenstelling lot een slatisch 
IPv4-netwerk geen nicuwe configuratie 
is, die dc beheerder op iedere host aan 
moet passen. 

I let proces voor hct cotiHgureren 
van adressen wordt ‘Stateless 
(Address) Antoconfiguration’ (SAC) 
genoemd, oindat cr nergens ccniraal 
bchccrd h«>eft tc worden wie welke IP- 
adressen gebruikt (RFC 2641 [21). Er 
zijn er sintpelweg gcni>eg, waardoor 
de kans dal ccti adres dubbel voor- 
komt statistisch verwaarloosbaar is. 
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underscore. 

In /etc/syscon fig/n ehvo rk-scr/pts/ife/g- 
etl>0 sUiat hct IPv6-adres als volgt 

DEVlCE=ethO 

ONBOOT^yes 

BOOTPROTO^siatic 

IPV6ADDR=2001:db8:;feed:l 

!PV61NlT=yei 

Dc prcllxen staan in /cfc/tadvd,amf zoals at 
bij Debian besebteven. Utteindelijk moet 
/ett/rcl2-5lil/K46r{uh'd naar S46radvd 
worden omgenoemd. zodai radvd bij de vol- 
gende reboot start. 

FreeBSD 

Dc BSD's hebben in tegenstelling tot Linux 
in dc core-installatie at een Router Adverti¬ 
sement-daemon. Voor de interface IncO ziet 
de configuralic in /erc/rc.conf bij FreeBSD 
cr zo uit: 

(pv6_enable=YES 
ipv6_gatewoy_enoble=YES 
flodvd^enable^YES 
rla d vd_i n terfo ces=" I ncO" 
ipv6_prefixjnc0=''2001 :db8’0;0'' 

Dc cerstc regel activeert IPv6 in de kemek 
de tweedc schakeli de Router Solicitation uil 
en dc Forwarding in, dc derde negel start 
rtadvd cn dc vierde en vijlde regel legt de 
prefix voor interface InvO vast. FreeBSD 
genereen een interi'ace ID cn maakt bier met 
deze prefix cen ad res van. De nadvd her- 
kent aan deze configuratie aulomatisch 
welke prefixen er doorgegeveii moeten wor¬ 
den, 

NetBSD 

Het inieriace-adres van penO staat in /etc/if- 
amfigpvnO: 

inet6 2001 :db8::feed:l 


In dc meeste gevallen i.s de interface- 
ID geba.seerd op het {ho|x^ltjk) sfechts 
eenmaal vergeven eihernemdres. Hoe 
dal precics in zijn werk gaat staat in 
hct kader ‘Van MAC-adres lot inter¬ 
face ID’. In Uicnric zullen er dus geen 
twee interfaces in een subnet hetzelfde 
adres gebniiken. Oni dat te garandcren 
voert iedere interface bij dc configura- 
tie van cen nieuw adres een ‘Duplicate 
Address Detection’ uit, Daarbij wordi 
getest of het gewenste adres in het 
subnet nug niet gebmikl wordt. Pas 
dauma wordt het ingesteld. 

Prefix-advertenties 

Als er in cen subnet prefixen bijko- 
men, mtxMcn deze op minstens van 


inet6 2001 :db&:: anycast 
/etv/rt\€fmfhepimii dwr 

(p6Frtode=router 
rtadvd “YES 
rtadvdjlags“''pcn0'' 

dat de computer een router is, die rtadvd 
rnoei stanen en dat deze dc interface f?imO 
van Router Advertisement voor/.iet. 

OpenBSD 

Dc OpenBSDanstallatie lijkt erg op die van 
NetBSD, maar vtror inierfacc !el staat in 
/elrlhmtnamf'-h I : 

inef6 afias 2001 :db8::feed:] 64 
inel6 alios 2001 :db6:: 64 onycast 

hi kdcL^ysciix^onf ^hdikd\ dc regel 

net, inetb.Ip 6. forwarding" 1 

hct forwarden in. Dtx>r in fetc/rcx'onf dc 
regel 

rladvdJlogS""ler 

te zetleii wed rtadvd bij hct starten naar 
welke interfaces deze prefixen moet *adver- 
lercn‘. 

Soloris 

Onder Solaris kun je voiir een inierfacc 
met de naam penO een Iccg be stand met 
de naam /et€/hostname6.pcn0 maken, 
samcn met hei be stand /euiinei/itdpd. 
conf, met daarin 

ifdefoult AdvSendAdvarHseirients true 
prefix 2001 :db&::/64 penO 

Suns besturingssysteem start dan hij de 
volgcnde reboot als router, waarbij de in¬ 
terface de opgegeven prefix en de gege- 
nereerde interface ID bevat. 


dc aangcsloten routers gecoiiftgureerd 
zijn. Vervolgens verdeeh dc dcsbe- 
treffendc router de nieuwe prefixen bij 
dc icgclmalige ‘Unsolicited Router Ad¬ 
vert iseinentsL De luingeslolen hosts ge¬ 
ne reran daarujl auto matt sc h nicuwe 
adressen cn stellen deze op him inter¬ 
faces in. 

Als prefixen wegvallcn, moelen dc 
routers deze verwijderen. Dok hier moe- 
len dc routers de hosts met Unsolicited 
Router Adverttsemenls informcren dat 
bepaaldc prefixen niet longer actuee! 
zijn. Dc hosts moeten die adiessen dan 
markeren als ‘deprecated’ en moeten ze 
ailccii luig gebruiken voor reeds 
bestaande verbindingen. Na enigc tijd, 
norniaal gesproken twee uur, mt)elen de 
hosts de adressen definitief verwijderen. 
Hclaas werkt dit in de praktijk deels nog 
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ntet zo vlekkeloos als het kxi voegcn van 
nieuwe prefixen. 

Op dc langcrc termijn is iiei daaixJoor 
in verhouding makkclijk om ncLwerken 
om te niimnieren: eersi stellen idle rou¬ 
ters zich in op cic nieuwe prefix> Als dat 
gedaan is en alie hosts via de nieuwe 
adressen te bereiken zijn, kan de beheer- 
dcr dc oudc prefixen verwijdeien op de 
routers, Rebo(.its of handmalig wijzigin- 
gen aao de hosts zijn niet nodig, 

Een lPv6-netwerk 

Met een router^ een host en een net- 
werk datutussen moet hel mogcJijk zijn 
oni een klein rPv6-netwerk te gehruiken. 
De host moet via auLoconfiguratie een 
adres met een global scope conllgurc- 
ren. Oen ping tiissen muter en host moet 
werken. Daar hoef je - als je de ‘jiiiste' 
adnessen gebriiikt - niel cxplicicl ecu in¬ 
terface voor aan te geven. 

Afhankelijk van welke services op 
een computer al geschikl zijn v<K)r IPv6, 
nioeten deze ook werken via IPv6, Het 
commando: 

# nefstot -af inel6 

bij BSD en Solaris of 

# nelslaf -aA mel6 

bij Linux ieveren een kort overzicht 
van dc bcschikbarc services. 

Zo kun Je zelfs meerdere subnet- 
ten, die allemaal op deze router zijn 
aangeslolen, in gebruik nemen: de 
hosts kennen de router dankzij auto- 
configuratie en gebruiken deze als 
delaull router. Deze weel uil zijn in- 
terfaceconfiguratie welke net werken 
zijn aangesloten en waar de binnen- 
komcTide pakketten naar toe moeten. 

AJs de communicatie kings meerdere 
routers gaat, moet je de desbetrelTende 
routes daar op instelien - dat kan door 
ofwel statische routes analoog aan IPv4 
of door een dynamiseh rout:tngpn)tocol 
te gebruiken. Solaris en BSD hebben 
daar in de basisinstallatie een I^IPng- 
daemon voor, tei~wijl dc Linux-distribu- 
ties nieer van een statische routing uit- 
gaan, 

Bij Debian kun je in /etc/network/in¬ 
terfaces alleen met een ‘gateway’-state¬ 
ment een defaull router opgeven. 
Bovendien kun Je met ‘up’- cn ‘down’- 
statements voor extra routes zorgen: 

iface elhO inet6 stotic 
address 2001 :db8::Feed:l 
neimask 64 

goleway 2001:clb8::feed:feed 
up route -A inet6 odd \ 


De configuratie van een host is een stuk 
eenvoudiger dan die van een router. Je 
hoeft als Administrator alleen maar IPv6 
in te schakelen en in veel gcviillen nog 
expUciet toe te staan dat de interfaces 
via Stateless Auioconfiguration inge- 
stcld mogen worden. 

Na een herstait moet de ad rescon fig u ra¬ 
tio dan automatisch de interface configu- 
reren, als een router in hetzelfde .subnet 
adresprefixen uitzendt. 

Debian 

Als de interface zowel IPv4 als IPv6 
moet ondersreunen hoef je alleen tc con¬ 
trol ere n of de kei nei IPv6 ondersteimt. 
Bi j een pure IPv6-configuratie is dat niet 
voldocndc. Dc makkelijkstc manier om 
interface ethO alleen tc configurcren 
voor IPv6, is door 

aulo elhO 

iface ethO inet slolic 
address 0.0.0.0 
netmask 0.0.0,0 

in /etc/iietwork/interfaces te zelten. Dat 
is weliswaar niel mooi, maar Icidt cr wcl 
toe dat de interface alleen IPv6 gebriiikt. 

Fedora 

Net als bij een router dient de rcgel 

NETWORKlNG_IPV6-yes 

(met underscore) in /elc/sys^config/netw¬ 
ork er samen met de configuratie 

DEVtCE-ethO 

BOOTPROIO=s1alic 

ONBOOT=yes 

IPV6INIT=ye5 

{zonder underscore) in /etcfsysconfig/ 
network-scripts/ifcfg-ethO voor dat de 
interface ethO via autoconfiguratie bij 
het opstarten wordt mgcstcld. 


2001:db8:l::/48\ 
gw 2001 ;db8::feed:2 
down rotJle -A inel6 del&le \ 

2001:db8:l"/48\ 
gw 2001 :dbB:4eed;2 

Fedora zoekt in /etc/sysconfig/ 
network-scripls/rouie-<interface> naar 
statische routes voor dc betreffende in¬ 
terface. De syntax is ziet er als volgi uil: 

2001:db84::/48 via 2001:db8::feed:2 
defaull via 2001 :db8::(eed:feed 

Voor dynamische routing moet je 
zowel bij Debian als bij Fedora een 
routing-daemon installcren en confi’ 
gureren, Debian Woody gebruikte 


FreeBSD 

FreeBSD configurcert automatisch alle in¬ 
terfaces wmir geen expliciete configuratie 
voor aangegeven is, Daamm is dc rcgcl 
lpv6_enabie=YES 

in /etc/rs£onf voldocndc om cen host te 
configuieren. 

NetBSD 

NetBSD is bijna net zo cenvoudig te confi- 

gureieii, De regel.s 

ip6mode=aufohost 

rhoNYES 

in /etc/rc.confzoTgcn cr bi j het boolen voor 
dat de host het auiomaitsch configurcren 
van a He interfaces ondersteuni. 

Voor dc interface penO moet bovendien in 
/eidifamfigpcrtOdiz rcgcl 
! rise I Sin! 

staan, zodai de interface bij liet booten een 
expliciete Router Solicitation uitvoeit. 

OpenBSD 

De rcgel 

nets nef 6. i p 6. a ccept.rtad v= 1 

in /ete/sysetlxymfi^t^t de kernel toe om in¬ 
terfaces via antoconfiguratie in te stellen. 
Voor de interface lei moet bovendien de 
regel 
rtsol 

in /ete/liastnamejel sLaan, wa^mdoor de in¬ 
terface bij het iiittialiscren cxplicict naar 
prefixen vraagt, 

Solaris 

Voor de interface penO is een leeg bestand 
/etc/hostniime6.pcn0 voldoende voor de au- 
lomatische configuratie, 

daarvoor nog Zebra, maar Debian 
Sarge en Fedora bevaiten bcidc bet 
daaruit afgesplitste Quagga, 

Zebra cn het nauw verwaiite Quag¬ 
ga zijn omvangrijke frameworks voor 
dynamische routing, die naast RlPng 
ook nog over andere routingprotocoL 
len beschikt, die cchtcr pas in eebt 
grote net werken of in een backhonc- 
omgeving zinvol te gebruiken zijn. 
Om Zebra te gebruiken met RlPog 
moet Je bet installcren, activeren met 
een leeg bestand /etcizehra/zr^ttra. 
confeu in /etc/zehra/ripngd .conf c on - 
figureren met 

router ripng 
redistribute connecled 
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Van MAC-adres 

Oin cen interface ID tc makeii wordt het 
clhcmct-MAC^adres in het midden met 
twee hytc.'i aangevuld* De;^e hebben de 
vaste waanden FF en FE, waar gegcncrecr- 
dc interface ID'S makkelijk aan te herken- 
nen zijn (afbeeldi ng 4)- Bovendien kiijgt 
bit 1 van tie eersie byte (bij MAC-adressen 
altijd 0) dc waardc I - oftewel bij de eerste 
byte wordt 2 opgetcld. Van een ethemet- 



redislribute kernel 
network ethO 

Bij Dcbian Woody nioet je in 
/etc/zc'hra/(/aenwm hcl Zebra^frame- 
wt>rk cn dc Rl Png'daemon expliciet 
starten met 

2 ebfo"yes 

ripngcl=yes 

Ook Fedora hccfl dc bestanden 
ze/?rax'o/j/cn npn^dxrmf nodig, niaar 
dan in de map /e/cA/itagj^a. Hel 
daemom-beiitmd is daarbij nict nodig, 
in plaals daarvan moet Je in de subfoF 
dcT /erc/rcf2-J/J het bestand 
KS5ze/mf heinoerncn naar 56'5ze/?ra cn 
K 84 np/ 7 ^d naar SS4np/!^d om bij een 
hci'sLart dc dynamischc routing te acti- 
veren. 

In tegcnsielling tol Linux beschikken 
allc BSD-vcrKics met rm/leSd over een 
cchte RIPng-daemon, Bij FreeBSD en 
NclBSD wordi deze in /eic/rex-onf ge- 
activeerd, bij FreeBSD doe je dat met 

ipv6_enoble=YES 
ipv6 jgote way_e nable”Y ES 
ip v6_f ou f e f_en Q bfe^YE S 

en bij NetBSD met 

ip6[nocl©»routBr 

roule6d=YES 

zodat dc rtJuLing-daemon na een reboot 
start. OpenBSD heeft in /efc/syAaicopf 
de regel 

neUnei6jp6,forwarding=l 

nodig voor het inschakelen van het for- 


tot interface ID 

adres 00:AO:Dl:D2:02:B6 wordi Lezamen 
met een subnet-piefix dus bijvoorbeeld het 
link-local-adrcs fe80::2a0:dJff:fed2:2b6 ge- 
raaakt. 

Automatisch gegeneneerde inteiface ID's 
hebben in het midden dus twee bytes met 
vast gedermieerde waarden, Bovendien 
licbben zc gecn langc 0-scquenties en zijn 
daarom in de nomialc schrijfwijze redelijk 
‘lang'. *Karte' adressen ab 2i(X)lrdbS::l 
zijn zonder enig bezwaar toe te kennen 
zonder dat er een kaiis op collisions met ge- 
genereende adnesseii dreigt ic ontslaan. 

Het genereren vein een IPv6 inter¬ 
face ID uit een ethemet-MAC-adres 
(boven) voIgt een vast schema. 


warden in de kernel; met 
roule6dJlogs='‘' 

in /ctc/rexanf start muiM hier ook bij 
hel opstarten. Statisehe routes zijn alleen 
bij FreeBSD in te stelleii in /^ix/rexonf 
met 

lpv6_itolic_routes=''rH dflf" 
ipv6_route_rt 1 =''-net 2001 :ctbfi; 1:: \ 

“prefixlen 64 \ 

2001:db8::feed:2* 

ipv6_roufe_dflr default \ 

2001 :dbfi:: feed: fee d"* 

Bij Net- en OpenBSD moet in 
/ekVreJoad het volgcndc staan: 

route odd in©l6 nel \ 

200]:db8:l::\ 

—p refix len 64 \ 

2001:db8::f6ed:2 

route odd 4nel6 default \ 

2001 :db8"feed:feed 

om de sialische routes met de hand te 
acti veren. 

Solaris Mart altijd zijn eigen RlPng- 
duemon /nx/pfij^^d op een router, die her- 
kend wordt aan hel bestand /erc/ined 
ndfJi/xonf, waardtx^r er vixir dynami- 
sehc routing verder niets nodig is, Dit 
kan later echier we! tot eomplicalies lei- 
den bij hel inslallcren van patches. Ben 
mogclijkhcid om de dynamisebe routing 
analoog aan IPv4 expliciet uit te schake- 
len met bijvoorbeeld /err/rmrouterO is 
cr hclaas nict. Bij BSD-varianten en So¬ 
laris kun je met 

# fietsial 'F 4 Sn 0 t 6 

en bij I Jnux met 


# nebtof*f-n A inetd 

de routing-tabellen zien zoals dat bij 
IPv4 gebruikclijk is. 

ToDo: /etc/hosfs 

Hticwel sornmige IPv6-adtessen niet 
zo heel lang zijn - donk maar aan ::l 
voor lt)calhost - is hel Inch lastig om 
steeds adressen in le moeten voeren, Als 
tussenoplossing kun je IPvb^adresscn 
net als bij lFv4 opnemen in /efc/ho.vfs. 
Dat ziet er bijvoorbeeld zo uit: 

::1 locolbost 

2001 :db8::fftf omnejioc nfsO 

2001:dbe::fffedebilfa5 

Alleen Solaris mitakt een onderseheid 
tussen IPv4- en IPv6-adressen. Hier 
komen de adressen in /eic/ifiei/pnodes in 
plants van in Bij het verwisse- 

len van een netwerkinterface of een 
prefix, veranderen ook de automatisch 
geconilgureerdc adiessen, waard(x>r 
zo"n sLalischc eonllguratie slechts een 
tijdclijke Dplossing kan zijn, 

De adrespreftx 2tK)l:db8::/32, waar 
alle hier gebruikte voorbeeldadressen 
van zi jn afgeleid, is dcK>r de APNIC uiF 
skiitend voor doeumenlatiediM-'leinden 
gereserveerd. Het zou geen problemen 
mogen oplcveren om dii adresbereik 
voor eigen experimenten tc gebmiken, 
vtxir zover er gecn werkende verbindin¬ 
gen op ‘iniemetb' zijn. 

Het volgende dee! van deze tutorial 
behandcit het inriehicn van een DNS- 
server die overweg kan met IPv6 en 
waarop de nixies Itun aclucic IPv6- 
adressen dynatiiLsch kunnen achterlaten. 
Om dit tc kunnen doen moet ook een 
NTP-server ingericht worden,die de tijd 
tussen de conipulcrs syncfironiseert. 

BENEDIKT STOCKEBRAND 
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IPv6 tutorial (deel 2): name-services en tijds- 
synchronisatie 

Naamgeving 

Benedikt Stockebrand 

Een verbinding leggen tussen twee IPv6-adressen goat 
prima, moar echt lekker werki het niet. De eerste stop na 
het opbouwen van de lPv6-infrastructuur is dan ook het in- 
richten van een IPv6-geschikle nameserver en een timeser¬ 
ver, zodat je een IPv6-mochine gewoon met een naam 
kunt benaderen. 


D e relalie imaci] een IP adres en 
een domeintiaam kun je in 
/ctc/hosts definieren (of het nu 
om TPv4 of IPv6 gaat), of in het geval 
van Solaris in /etc/inet/ipnodes, maar 
dal is hooguit een provisorische op- 
lossing. Adressen kunncn tenslotte 
veranderen. VtKir deze taak is dan 
ook hcl Domain Name System 
(DNS)-protocol bedocld. DNS is bo- 
vendien in staal om een nameserver, 
die uilsluitend via [Pv4 bereikbaar is, 
tc vragen om een [Pv6-adrcs en om- 
gekeerd, Voor allc DNS-onderdelen 


is cr tegenwoordig software die 
zowel met IPv4 als IPv6 overweg 
kan, zowel nieuwe nameservers 
(zoaLs Bind 9) als nieuwe resolvers 
(die verbinding leggen met nameser¬ 
vers om hei IP-adrcs bij een domein 
op te vragen, zoals de gethostbynameO 
resolver in de C-bibliothcck), 

De resolvers van Debian, Fedora, 
FreeBSD, NclBSD en OpenBSD zijn 
wat dat betreft up-to-date. Alleen bij 
Solaris 9 hangt hei van de subrelease 
af, of de resolver requests via IPv6 
kan doen. Met de Vecommended 


patches' kunnen ook oudere subrelea¬ 
ses snel up-to-date worden gemaakl. 
Bind 9 ondersteunt requests via IPv6 
al sinds de eersic versie en dat is 
waar we in dil artikel vanuit gaan, 

Resolverconfiguratie 

Om er voor Ic znrgen dal je een 
IPv6-geschikie nameserver kunt gc- 
bruiken, moet eerst de resolver goed 
gceonfigureerd worden. Voor de, toe- 
komstige nameserver *dnsO,exaniplc, 
com^ met het adres 2()0l:db8::l en het 
domein 'example .com' ziet 
/etc/resolv,canf cr ^\s volgt uk: 

seorck example.com 
nomeserver 2001:db8::l 

Daamaast wordt in /ekins.switch. 
rY;/i/vastgelegd dat de client tK)k daad- 
werkelijk de nameserver benaden, 
Voor Linux, FreeBSD en NetBSD is 
dc betreffende regel als volgt: 

ho5ts; ffles dns 

en vtK)r Solaris 

Ipnodes: files dn^ 

Wat de resolverconfiguratie betreft 
is er vergeleken met IPv4 dus niets 
wezenlijks anders. Behaive de resol¬ 
ver hebben alle computers DNS-utili- 
ties uit de Bind 9-distnbulie nodig, 
met name dig en nsupdate. Op een 
nameserver moet bovendien een vol- 
waardige installatie van Bind 9 staan. 

Debian bee ft in ieder ge val het 
pakket dnsutils nodig, Fedora moet 
ook bij een minimale installatie bet 
pakket bind-utils hebben. Voor beide 
dislribulies hestaat er een los pakket 
hind9 inclusief nameserver. 

OpenBSD be vat al in de core in- 
slallatic Bind 9, maar spijtig genoeg 
is die incompleet, waardoor je voor 
een namesei'ver nog een aantal extra 
handelingen moet verrichten (zie het 
kadcr OpenBSD speciaah dnxxeckey- 
gen') Vanaf versie 53 be vat FreeBSD 
Bind 9, vtx>r oudere versies bestaai er 
ecu port. Bij NetBSD moet Bind 9 in 
zijn geheel uit de pons collection ge- 
Tnstalleerd worden, ook als de client 
allccn de utilities nodig hecfl. Voor 
Solaris tenslotte is er op www.sun- 
freeware.com cen pakket SMCbind 
beschikbaar, waar Bind 9 in ziL 

Na de installatie mod er bij 
NetBSD en Solaris op de nameser¬ 
vers met rnd-canfgen -a expliciet een 
key gegenereerd worden, waanmee dc 
control utility rned vcrvolgens de na- 
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JI-TRACT 

m Stotische IP adressen zijn hoog- 
\}\\ werkbaor voor testdoelein- 
den. 

• Net als bij IPv4, zijn in een ac- 
tief IPv6-systeem name- en fijd- 
services absoluut noodzakelijk. 

• In diverse Uni)(-varionten funcMo- 
neren talloze configurotiedetails 
op verschillende wijze. 


meserver aan kan siuren. Omdat er bij 
NciBSD cn Solaris vaak nog Bind 8 
versies van de DNS-tool gebrtiikt 
worden, moet je er daar extra goed op 
Icltcn dat Je niet abusieveiijk de 
BindK-vcrsics van dc DNS-comman- 
do's uitvoert. Ah je de nameserver 
liever zelf compileert uit de broncode, 
dan kun Jc die vinden op 
ftp.isc,org/isc/bind9/, 

IPv6-nameserver 

Als cen name server requesLs via 
IPv6 rnocl kunnen bcantwoorden, dan 
heeft hij een statisch adres nodig dat 
in de resoiverconfiguratie van de 
clienl kan worden ingesteki. Dc 
/^^i/?ie^/-daemon nioet tijdens het boo- 
ten gestart worden en een passende 
configuratie aantreffen. 

In de voorbeelden is 2001:db8::J 
het statische adres van de iiameserver. 
Dat is gebccl volgcns dc rcgcls van 
IPv4, waar de nameserver ook vaak 
het eerst beschikbare adres krijgt- De¬ 
tails voor dc verschillendc Unix/ 
Linux-versies zijn te vinden in het 
kader 'Nameserver staithulp\ 

De mini male configuratie van de 
nameserver vereist dat deze weet 
waar de zone files te vinden zijn en 


Spijtig genoeg is hel commando dnssec- 
keygen nict aanwezig in de Bind 9-dislri- 
butic van OpcnBSD, Dii is het eenvou^ 
digst op te lossen door deze acliteraf uit 
de source tree te maken en te iiistalleren. 
Daarvoor moet je van ftp-openbsd.org (of 
cen mirror) het bestand srcjar^z down- 
loadcn dat past bij je OpenBSD-versie. 
Pak het be stand nil naar /asrArc en com- 
pileer en installeer het op de volgende 


hoe requests via IPv6 beantwoord 
kunnen worden. Ilet configuratiebe- 
stand namecLcanf, dal aniankciijk van 
de Unix-versie te vinden is in /etc 
(NetBSD, Fedora), /etc/hind (Debian, 
Solaris met Bind 9 en hcl startscripL 
dat in het kader 'Starthulp^ staat), 
/eJc/fiamedl? (FreeBSD) of /var/ 
named/etc (OpenBSD), mod daar- 
voor de volgende optics bevatten: 

options {directory “/^^''/naTT^ed/zonedato"; 
lisfen-on-v6 { ony;);]; 

Daardoor worden de zonefiles, die 
dc informalic over dometnen bevat¬ 
ten, in de map /var/named/z.onedata 
opgeslagen. Strikt genomen is dat niet 
per se noodzakelijk, maar het maakt 
w'cl duiddijk dal IPv6-adressen zon- 
der tussenkomst van een beheerder 
veratiderd kunnen worden en daarom 
niet mccr in /etc zouden moden 
staan. 

Speciaal voor FreeBSD en 
Open BSD, die de nameserver in een 
ehroot-omgeving laten draaien, moet 
de tweede regel er als volgt uitzien: 

directory "/zonedata"; 

Dit zorgt ervoor dat de nameserver 
ondanks dc chrool omgeving dc zone- 
files kan vinden, 

De map /var/named/zonedata moet 
je zelf aanmaken, Als ruirncd geen 
root-rechten bee I t moet ook de cige- 
naar van de map dienovereenkomstig 
aangepast worden. Voor OpenBSD en 
Fedora, waarbij named bij cen slan- 
daard configuratie na de start onder 
de user ’named' draait, moet hiervoor 

# chowrv nomed /vor/nomed/zonedota 

worden uitgevoerd* In FreeBSD heeft 
dc user de naarn ’bind'. 

In de weergegeven configuratie is 
de nameserver algemeen toegankelijk. 
Wie dal wil kan via ACL’s inslelien 
wie welke requests aan de nameserver 
mag stellen* 


manier, a Id us Jakob Schlyler van het 
OpenBSD project: 

# cd /usF/src/usr.sbin/bjnd 

# make f Makefile.bsd wropper 

# cd bin/dnssec && moke install 

Het IS te ho pen dat OpenBSD in ko- 
mendc vcrsics het commando mee-insUil- 
leeit. 


IPv6-tutorial 

Het eersle deel beschrijri de configura- 
lie van routers en hosts, 

Decl 2 hchandeU het instetlen van 
DNS under IPv6. 

Deel 3 bcschrijft hcl gebruik van andere 
belangrijke netwerkservices en de inte- 
gratie lus.seti IPv4 en IPv6, 

Forward maps en 
AAAA-records 

Vervolgens richt je op de nameserver 
de eersLe zone in, in ons vtM)rbccld noc- 
men wij deze ’example.com', Hiervoor 
maak je een zonefile met de narun exam 
plejcomfivd in / var/mimed/zoneduta aan, 
met de volgende inhoud: 

$TTL 300 

tORlGlN exomple.com. 

@SOA dnsO Foot,dnsO( 

1 10m5m30d300] 

NS dnsO 

[ocolhosf A 127.0.01 

iocolhost AAA A ::1 

dnsO AAAA 200I:db8::l 

Eteze zone onderscheidt zich alleen 
van cen 'normale' IPv4-/one dtK>r dc 
laatste twee regels. Hierin staan Resour¬ 
ce Records (RR's) voor iPv6 van het 
type 'AAAA', die dienen vtK>r het op- 
slaan van de lPv6-adressen, en de rela- 
tief koite waarden voor TTL, Refresh en 
Retry Interval, Als je nog nooit cen na- 
meserver met Bind hebt opgezet, vind je 
in het kader 'Zonefdes in het kort' enige 
uitleg over deze configuralic. 

In de named.conf staat de zone zoals 
gebruikelijk in de regels: 

zone ''exomple.com” [ 
type master; 

file "example.com.fwd”; 

}; 

De zonefile moet, net als de map 
/var/named/zonedata^ beschrijfbaar zijn 
voor de gebrniker onder wiens rechlcn 
named draait. 

Dynomische DNS op 
servers en clients 

Tot bier is er nog slechts we ini g ver^ 
schil met de DNS van IPv4, Het 
wordt pas spannend bij het samcnspel 
tussen DNS en de autoconfiguratie 


OpenBSD speciaal: dnssec-keygen 


ix 2/2006 


65 
















PRAKTIJK 


Internet 


Een nameserver starthulp 


Als jc ccn nameserver wilt opzcitcn, moct 
jc eerst een host inrichten. In het eerste 
deej vail deze ariikelreeks werd nitgelegd 
lioe dal in zijn werk gaat De host conil- 
gureer jc op lo'n manier dal hij via ecu 
vast lPv6-udros bereikbaar is, Dat b wcl- 
jswaar niel de siandaard gang van zaken, 
maar de resolvereontigurafie van dc 
DNS-dicnls inoet hcl ailres bevaiien. Bo- 
vendien is hcl in sommige gcvallcn nood- 
zakelijk om mmed cxpiiclct te siarien, 

Dehian; In /etc/ftenvork/inrerfaces siellen 
de rcgcls 

oylo elhO 

ifoce ethO inet6 static 
oddress 2001:db8::1 
natmask 64 

een stalisch IPvh-adres op de interface 
ethO in* Als jc het hind9-pi\kk^t insial- 
lecn, rcgclt een startscript dat na eike vol- 
gende reboot f tamed via de /etc/in it .d- 
scripts Stan* 

Fedora/Red Hat: Net als bij een rooter 
richt je een statisch adres in voor de inier- 
face eihO in /etc/mconftg/nenmrk 
ncnpLs/ifcfg-eihO mel 

DEVtCE=ethO 

BOOTPROTO-statIc 

ONBOOT-yes 

JPV6lNlT=yes 

lFV6ADDR=2OOI:db0;:l 

in. Om cr voor Ic zorgen dat named na 
elke reboot automatisch start, hemoem Je 
/ekirc[ 2 -5 / d/Kd5m/med om n aa r 
SdSnamed (mooicr nog: ntsysv --/ey-ef 
2345). 

FreeBSO: Itet statische adres van de ser¬ 
ver en hcl attematieve named-progrAmmii 
worden in /etdtv.conf met de interface 
IncO als volgt ingestcld: 

ipv6_enoble=yES 

ipv6_ifconfig_lnc0“''2001 :db8::] * 
nomed_ 0 nab!e=YES 

NetBSD: Net als bij een rooter stel je het 


(SAC, zic t)ok dccl 1). Om crvmir tc 
zorgen dat beidcn samcn functioneren 
moet elke keer dat de adresconfigiira¬ 
tio van een inlorfaco van ccn node 
word! veranderd die node ook auto¬ 
matisch zijn DNS-entry actualiseren. 

Dil is mogelijk zondor compromis- 
sen in veiligheid te hoeven slulten, 
zoals in shtiaties waar iedere host een 
'corliricaaL' ontvangL waarmcc deze 
zich bij de nameserver kan authenti- 
ceren en alleen de eigen DNS-entry's 
kan aanpassen. In plaats van ochtc 
certitlcatcn niaakt DNS gebruik van 


adres voor dc interface penO in fetc/ifeon 
fig^penO met 

inef6 2001:db8::l 

in, waarbij diimaal het anycasl-adres ver- 
vall. In /ew/rc.conf mod boventlicn de 
regel 

nafTnsd9=YES 

staun. Tcnslottc start jc de nameserver 
vanult /etc/rcJocal met de regcls 

if [ ’f /usr/pkg/etc/rc.d/narTied9 ] 
then 

/u^r/pkg/etc/fc.d/nomed9 start 
fi 

Open BSD: Voor dc interface kl defi- 
nicer jc in /efc/hosrmmte.lel met 

inet6 alias 2001:db3::l 64 

een statisch adres. Mel dc regcl 

named Jlags^"“ 

in kHc/n\conf Jocai wordi named gcacti- 
veerd. 

SnlHris: Hcl adres voor dc interface penO 
configurecr jc in /etc/hos!name6.pcnO met 
de regcl 

addlf 2001:dbe::l/64 up 

Het pakkei vnor Bind 9 jnsiallceri gecn 
kte/imf.d/named startscript. Dal kun jc 
zcLf maken met als inhoud 

#! /bin/sh 
core ^$r in 

slortl /usr/locol/sbin/named \ 

-c /etc/bind/nomed,conf 

Stop) /u$r/loc0l/sbirv/rndc slop 

esoc 

en mel chmod 755 /etc/ind xi/named maak 
je het uitvoerbaar, Om ervoor te zorgen 
dal named na elke reboot wordt gestart, 
maak jc met In -.v /etc/irril.d/named 
/etc/fc3 ,d/S99nanied ce n symbol] sche 
link. 


'shared secrets', wik wcl Transaction 
Signature' kortweg TSIG* 

Allereerst breid je het zonestate- 
ment in named.conf uit met ccn 'up- 
datepol icy': 

zone 'example.corn" [ 
type moster; 
file ^exDmpfe^comJwd"; 
update-policy ( 

grant *,exomple.com. 
self example.com. 

AAAA; 

}; 

}; 


Hiermee mag de zone 'example .com' 
dynaniische updates van de AAAA- 
records van de hosts ontvangen. 

Ook named moet gebruik gaan 
maken van TSIG's. In eerste instantie 
dient daartoc bo veil in named.confdc 
regel: 

include Vvar/named/tsig.keys.cofif; 

Hierin komen later alle TSlG's te 
staan die de nameserver in acht moet 
nemen. Alleen bij FreeBSD en 
OpenBSD is dc rcgel als volgt: 

indud© "/tsig.keys.conf'; 

Voor dc pc 'nodcLexample.com' 
maak jc een TSIG met 

S dnssec-keygen \ 

-a HMAC MD5 *b 128 \ 

-n HOST node!.example,com 

wat twee bestanden oplcvert, 
Knode / .example.com .+ /57+<w> .key 
en Knode / .example.com,+ /57+<ff>. 
private. Om ervoor to zorgen dat een 
computer meerdcrc onafhankelijke 
TSiG's kan hebben, wordt voor elk 
certificaat een checksum '<n>' bere- 
kend, die ook in dc bestandsnaam 
wordt vermeld. 

Vervolgens crecer Je cen besland 
/va r/na med!tsig .k eys .rr/u/, waari n je 
de gegenereerde key achierhiai: 

key nodeLexompte.com. { 
olgorithm hmoc-mdS, 
secret 'zXoom}5!neleo4D78bRspw="'' 

1 ; 

Het gemeenschappelijke 'secret' In 
de laatste regel koim danibij nil een 
van de twee TSlG-bcstandcn* Tenslot- 
te kun je met hcl commantlo rndr re¬ 
load ervoor zorgen dat named de nieu- 
wc keys inleesl. 

De laatste drie slap pen - het maken 
van de keys, het iipdaten van 
LsigAey,sxonf en de reload van de con- 
figuralie in een actievc nameserver - 
kunnen geautomatiseerd worden met 
het eenvoudige shellscripl makeOfigkey 
(zie kaderTrio Infcrnalc'). 

Daarmee kan het maken van TSJG 
gereduceerd worden lot 

# maketdgkey naduLexamptexom 

wat het gebruik van TSIG's veel ge- 
makkelijker maakl. 

Om ervoor te zorgen dat een DNS- 
client zijn eigen entries kan actual [se¬ 
re n, heeft hij de bcide TSIG-bcsLan- 
den nodig. Maar ook moeten de 
systeemtijden van client en server 
synchroon lopen, omdat de server an- 
der.s een update weigeit oin replay- 
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aanvallen te verhinderen. In eerste in¬ 
stant ie volstaai hcl om allc cumpliters 
handniadg op dezelfde tijd te zetten, 
omdat het updatemechan isme afwij- 
kingen van minder dan cen miniiiil 
tolereert. Tenslotte kun Je vanuit de 
client met 

$ nsupdate k <Private Key> 

> update delete <Naam> AAAA 

> update add <Naam> AAAA 300 <Adres> 

> 

> ^0 

dc PNS-entry actualiscren. Do '<Pri- 
vate Key>' is de hestandsnaam inclu- 
sief pad naar de 'Private Key’ van de 
TSIG. '<Naani>' is de DNS-naam, 
dus bijvoorheeld node! .examplc.com, 
en '<Adres>' is het IPv6-adres. 

Hicrbij kan een aantal stand aard- 
f'outen opLrcdcn: jc mocL absoluut de 
mupdate van Rind 9 gebruiken, 
omdat de variant van Bind 8 een an- 
dere syntax is heefl. In de regel 'upda¬ 
te add’ mag de '300' die de TTL van 
de entry vastlegt, niet onrbreken* De 
lege regel die daar direct op volgt 
/orgt cr pas voor dal de aanpassing 
ook daadwerkelijk wordt uitgevoerd- 
Helaas geeft nsupdatG geen waar- 
schuwing indien een update de ver- 
antwoorcleiijke nameserver belemaal 
niet bereikt heeft. Alleen als de (niet 
gedoeumenteerde) exilcode van hcl 
programma niet mil is, wijst dat erop 
dat er een font is opgetredem 

Na dc update zou je daaroni moe- 
ten controleren of bet correct is veHo- 
pen. Dat doe Je met 

$ dig <Naam> AAAA 

Het ligt voor de hand om dergelij- 
ke taken via een script te regelen. Met 
tweede script van bet 'I'rio In female', 
nsautoupdate, voert met de actuele 
iiilerfaceconfiguratie en een TSIG 
cen update uiL 

Hiervoor meet je oni te beginner 
voor een interface met de naam ethO 
ceil map aanmaken met dc naam 
l€tduig)eth0.^k}ha} of ietcJtsigiethO 
.jZ/e, afliankelijk van de vraag of de 
gebruikte adressen een global of een 
local scope hebben, Bcidc TSIG bc- 
standen kopieer je naar die map en je 
roept nsautoupdate op. Op relatief 
statischc systemcn is bet aan le raden 
het script met intervallen van 10 tot 
30 riiinuteii via cron of hand mat ig te 
laicn draaicn. Veranderingen van dc 
adressen worden dan door de DNS 
opgeiiomen. Voor systemen die dyna- 
mischer zijn kaii het in extreme ge- 
vallen zinvol zijn elke minuut een up¬ 


date uit te voeren, als de nameservers 
in kwcstic dc extra belasting tenmin- 
ste aanknlinen. 

Reverse maps: PTR-re- 
cords om het af te leren 

NaasL de forward maps, die IP- 
adressen en andere gegevens terugge- 
ven aan de hand van een DNS-naam, 
bestaan cr voor iPv6 ook reverse 
maps, die een naam aan een adres 
toewijzem Van IPv4 zijn de PTR-re- 


AJs je voor dc eerstc keen met biTid een na¬ 
meserver conbgurcerl, word je met iwee ei- 
genaardigheden geconfrontcerd: dc splii- 
sing van tbrwaid- en reverse-zones en de 
ingewikkelde syntax is van de zonefiles. In 
bepaalde gevalien is hcl noodzakelijk om 
de forward- en reverse-zones tc scheiden. 
Welkc gevailcn dai zijn is tc complex om 
in dit kader te bespmken. De syntaxis van 
de zonellles (zie Listing I) is nauw verwant 
iuin het DNS-protocol en heefl een aantal 
liistorisch gegroeide eigenaardigheden. 

De cerste rege! van de listing definieert dat 
de 'time lo live^ {$TT!.) van alle volgende 
entries '300' (sccondcn) duuri. In die tijd 
mogen de entries in een DNS-cachc wor¬ 
den opgeslagen, daarna meet de cache ze 
verwijderen. 

Aan alie DNS-ntimen die niet op cen pnni 
eindigeii wordt autoinatisch de iiihoud van 
$ORKilN toegevoegd. Dit zorgt soms voor 
verrassingen, watirieer een nameserver ant- 
woorden zoals 'dnsOexamplc^eomexamp- 
Ic.com' geeft. Uiteindclijk hclpt het eclUcr 
bij de reverse-zones voor IPv6 om te lange 
regel s te verhinderen. 

in de derde regel van de listing staat in lict 
begin een een afkorting vcx)r dc zonen- 
aam, Deze notatie is slecht gedocunienteerd 
en moot iilleen gebruikt wortlen als de hui- 
dige orid^ dc naam van de zone is. 

De vierde regel is ingesprongen omdat hij 
bij dezelfde naam liooit als de regel ervixir. 
Dat schccU wat typwerk bij hand mat ig be- 
heerdc zonefiles. maar maakt hcl wat moci- 
lijker om zulke zonefiles met grep te door- 
zocken. 

SOA, de 'Stan of Authority', be vat zeven 
essentiele informatie-elementcn over een 
zone. Ilet eerste elemen!, de 'MNAME^is 
de naam van de primary ol' ma.sier name- 
scrvci\ dus dc server die officieel de zone 
beheeit en waaraan aile veranderingen ge- 
richt moeten worden. Daarop voigt cen e- 


cords van de reverse maps al bekend 
om bun weinig esthetische verschij- 
ningsvorm. Glider lFv6 zijn ze bo- 
vendien ex tree m lang en daardoor 
foutgevoelig. 

In listing 1 is le zien hoe een minima¬ 
le zoneille voor het pseudo-dome In 
'8.b-d.0.1.0D.2Jp6.arpa' eruit ziet. De 
kop met SITL- en jfD/^/GVA-directives, 
SOA- en NS-records is opgchouwd 
zoals bekend uit IPv4. De laatste twee 
regels laten zien lioe de PIK-Records 
vtK>r IPv6 adressen in bet zogenaamde 
nibbie-formaat uitzien: de volgorde van 


mail adres van de betieffende admin, waar- 
bi j de door een ]>iint is vei-vangen. 

Met het 'Serial NiimberL hicr 1. testen se¬ 
condary nameservers of hun zonefile nog 
steeds gelijk is aan die van de primary. Wie 
zonetlles handmalig beheerl. moet niet ver¬ 
ge ten het numiner na clke verandering 
handmatig op te hogen. 

Het volgenile gctal, de 'Refresh Interval', 
geeft het tijdsinterval aan waarop de secon- 
daiy nameserver moci testen of dc primary^ 
hei serial number heeft veranderd. De letter 
'in' verandert de tijdseenheid in minuten. 

Vervolgens Icgt 'Retry Interval’ vast met 
we Ik tijdsinteiv'al cen secondary nameser¬ 
ver een i lieu we refresh-pogiiig moet oiider- 
nemen als deze de primary niet heeft kun- 
nen bereikert. 

Als een secondary langcie tijd niet heeft 
kunnen refreshen, dan verwerjit hij de zone. 
In hot voorbeeld wordt met een Expired 
Time van ’30d' een periode van derlig 
dagen iiigesteld. 

Tenslotte volgt de zogenaamde 'Minimum 
TTL'. die door de huidige nameservers niet 
nicer gebruikt w^ordu omdat die vervangen 
is door SlTL. 

De TTL, refresh- en reIry-interv alien zijn in 
de voorbeelden zeer kort gehoudcn.om cen 
snelle tests ituatie ic kunnen erecren en 
daarniee dynamische U|xlaies snel op de se¬ 
condaries lerecht kunnen komen. In stati¬ 
schc (IPv4-)omgevmgen zijn wa;irden van 
meerdeie uren gebruikelijk. 

In de NS-rccords slant cen lijsl van alle na¬ 
meservers, die reqtiesis voor de zone kun¬ 
nen beantwoorden. Hicr zuiiden naasL de 
primary ook alle secondaries moet opdui- 
ken, zodat een actuele primaiy deze bij ver¬ 
anderingen in de zone nil zicbzelf kan 
waarschuwen. Anders moet cen nieuwe 
reft esh worden afgewachL 
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PRAKTIIK 


Internet 


de nibbles (vier bits; in hexadecimale 
notatie dus ^en letter of een cijfer) is 
onigckccrd vcrgclckcn met de sehrijr- 
wijze die in IPv4 gebruikelijk is; naelke 
nibble volgt een punt. Onidat een IPv6 
adres uil 32 nibbles bestaai zijn dc FFR 
records erg limg, /iilfs wanneer de adres- 
sen met 50/?/GW-directives in twee re¬ 
gels opgedeeld woiden. 

Hen bijkomend hezwaar is dat lPv6- 
adressen volgens RFC 1886 oorspron- 
kelijk onder bet pseudo-doineiii 
’ipvbjriF bchcerd werden llj. Hien>p 
volgde in RFC 2673 een ander formaat 
voor PTR-records [ 1 ], bet 'Bitstring-For¬ 
mat'. Maar oindat bet cnkelc onver- 
wachLc pR>blemen bleek te bebben, de- 
gmdeerde PTR 3596 [ 1) bet weer lerug 
naar 'experimenteer cii verschtK>r het dc 
reeds gevestigde PTR-records in bet nib- 
ble-formaat naar 'ip6.arpa/. 

Hen aanial resolvers zt)ekl echlcr nog 
steeds in Hp6,inF*, en andere alleen in 
1p6.arpa.’; de resolver van FreeBSD 
zoekl in soinmigc versies eerst in 
'ip6.arpa.^ cn uls dat niet succesvol is 
zoekl deze voor de zekerbeid alsnog in 
'ipGJnt.'. Vooralsiiog blijft liel dus 
zakelijk om bet bebeer van identieke 
zones onder deze twee pseudo-domei- 
nen uit te vocren. 

Voordeel is wel dat alleen dig tot aan 
versie 92.2 van Bind met de optie -x dit 
bitstriiig- fonnaal gebruikt. Ben resolver 
die dit lonnaal vtxrr reverse look-ups 
gebruikt is niel bekend. 


PTR-records dynamisch 
updaten 

Helaas kan het script nsautoupdaie 
niet gebniikt worden om ook de reverse 
maps te actualiseren. Daarvoor heeft 
hcl een TSIG nodig dat het naar het 
dcsbetreffendc adres verwijst. 

Je zou er van af kutinen zien om re¬ 
verse maps tc gebruiken en alle pro- 
gramma's die zteh via reverse lookups 
'identificereiV als 'verouderd' en W- 
bruikbaar' kunnen bestempelcn. Je zou 
ook kunnen proberen alle reverse 
lookups door een wildcard-record in de 
ktem le smoren. 

In veel gcvallen is erechtereen zin- 
vollere oplossing: zolang alle entries 
in een reverse map uitsluitend naar be- 
kende forward z.ones verwijzen, kiin je 
uit de forward maps de reverse map 
genereren; als dc entries in dc forward 
maps dankzij de TSIG's betrouwbaar 
zijn, is het resultaat net zo betrouw¬ 
baar. 

Voor dynaniiscbe updates genereer 
je op de nameserver in eerste instantie 
via 

# mokeisigkty mosler 

een "master key" voor de reverse zones. 
Vervoigens richt je voor iedere net- 
werk-prefix in namedxrmf twee zones 
in: 


Het 'Trio Infernaie' 


Het 'Trio Inteniale' bestaat uil drie pro 
gramma’s van de hand van de auteur van 
dit arlikek die ervoor zorgen dat IPv6- 
adressen dynamisch worden gepmpageerd 
in DNS. Ze waren oorspronkelijk ontsiaan 
als prtx>l-of-coiicepi, in de hoop dal het in 
de nabije Uiekomsi een 'officiele' oplos- 
singstratcgic zou opieveren. Alle program- 
ma's kun Je vinden op www.beitedikt-stoc- 
kcbrand4e/index_e.htinl under Hacks & 
Downloiuls", 

Met het relatief eenvoudige shellscripi 
maketsigkey kun je op een nameserver 
TSIG sleutelparcn maken en deze in de 
DNS-configuratic integreren. Beduidend 
complexer is nsautoupdate, het tweede 
shellscript. Het plaatst een TSIG op een 
clieriU om zu tlicns DNS-enlry up-to- 
date tc huuiicn. In stmpclc subnetwerken 
met weinig prefixen zou het goede re- 
sultaten moeten geven. Voor complexes 
re omgevingen is hel minder gescbikl, 


vandaiir dal hel dc bedocling is het naar 
C om le zetten. 

Deze beidc scripts kunnen na hel uiipak- 
ken van dc lar-besianden op hcl dcsbC” 
treffende systeem gcinstallcerd worden 
met: 

# moke 

# moke insfoCI 

Hel derde programma, synvrevzone, 
haaii van een of meerdere itameservers 
de vastgeslcldc forward zones cn actua- 
lisccrt dc aangcgcvcii reverse zones en 
hun gegevens. De actuele C++ versie 
wordl geconfigureerd, gecompileerd en 
geYnsiallcerd via 

# ./configure 

# moke 

# make insloll 


Utting 1 1 Minliiiiil* Mop voor 

l001:db8EE/33 


im son 
mm 

SSIA diO.euipU.ciUi. rsot.dtiig.ejiiipU.CM. f1 IDi Si ]gd 300) 
IS diiO.cxiiplc.coH 

; tt dft m PfHicord viir tr lit 

tpiuii g.o.o.g.oj.o.g.s.b.d.Od.dJ.Mpi.irpi, 
I.QJ.D.g.d.Q.D.QJ.O.g.Q.Q.O.O PU dntg.cjtiiplt.tai. 


Ufitlng xoneflle 

iTiL m 

SSdl dtnl.txiiplc.eoi. fQot.dnsQ.ixiipU.EU. (1 lOi Si IH Sill)] 
IS dtiiO.tiiipLe.toi. 


zone 'S.h.d.O. KO.0.2 Jp6.arpa/ 

[ type mosier; 

file •200Tclb8 Jp6.arpa'; 

□llow-updale [ key master.; ); 

); 

zone “B.b.d.OJ .0.0.2jp6.irrk'* 

( lype mosier; 

file "2001.dbe,ip6Jnr; 

oliow-updole { key moslsr. ; }; 

]; 

Vervoigens maak je de twee 
zonef i les 200! MhSJp6 .arpa en 
200 LdbHJp6.int met dc inhoud uit 
listing 2 aan. Als hind op het systeem 
onder een aparte gebruiker draait, 
maak je de beslandcn met chown 
voor deze gebruiker schrijtbaar. Met 
rndc reload zorg je ervoor dat named 
zijn configuralie opnieuw gaal inlc- 
zen en als primary vtmr beide zones 
actief wordt. 

I let derde programma van het Trio 
In female, ^yncrevzone ^ synchroni- 
seert reverse maps met forward maps. 
Via 

# syncrevzone k master exam pie,com 
200l:db8;:/32 

VLilt hel dc lege ztmefileK met entries 
voor alle adressen waar het dometn 
example.com naar verwijst en die 
binnen bet adresbereik 20()l:db8::/32 
vallen. Ook in dit gevul is het aan te 
raden het programma regel matig via 
cron of handmaiig te starten. In zeer 
dynamise he omgevingen is het even- 
lueel ztnvol om hei elke minuut uit te 
voeren, in een wat meer statische om- 
geving is hcl voldocndc om het eens 
per half uur te doen. 

Afternatieve oplossingen 

Bij hcl aanzicn van dergelijke min¬ 
der fraaie configuratiedetails vraag je 
jezelf al snel af of dat niet makkelijker 
zou kunnen. Je kunl bijvoorbceld slati- 
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Listing 3; Mlntmoal slart«crl|it vnnr 
ftlpd 

If ibii/ib 
t1 it 

itirt) I iilr( iw nlpd nemiilfi nrdir.., 

Uli 'cil 

sleep Z t itilec^nfigaritie 

/usr/lstjl/bfi/ntpd 

stD|»} HU 'cat 

ft 

esac 


sche lPv6-adressen uitdelen en handma- 
tig DNS behcrcn, waL in klcine, vooma- 
melijk statische omgev ingen een gang- 
barc metliode is. In complexere sitiiaties 
is het bchccr van s Lai i sc he adressen veel 
arbeidsintensiever en wordt het daard(x>r 
ccn dure zaak. Met name in het beheer 
van de reverse maps is de kans op fou- 
ten aanzienlijk* Statische adressen zijn 
dus op de lange tennijn onaantrekkelijk, 
cxrk al lijkL het gebmik ervan handig a!s 
o ve rga ngsopl oss i ng. 

lien tweede alternatief is DHCP, of 
om preciezer te zijn, DHCPv6. Maar 
omdat dit al een behoorlijkc tijd nog in 
een alfa-stadium verkeert (autoconflgu- 
ralie maakl het di^Is overbodig), wordt 
het maar zelden geymplcmentccrd. Toch 
is DHCP interessant, omdat er tot nu toe 
geen anderc geautomatiseerde oplossing 
bestaat om op clients autoniatisch te 
configureren op welke adres de volgen- 
dc nameserver te bereiken is* Tot het 
momenL dat er ccn gestandaardiseerd 
anycast-adres voor DNS ziil worden 
vasigcsield, is DHCPv6 een pragmati- 
sehe oplossing vcK>r dit probleeni* 

Als je over LDAP beschikt, is dat 
overigens ook een interessante optie 
voor DNS. Zondcr ccn LDAP-infra- 
stnictuur is het echtcr riskanl om IPv6 
en LDAP gelijktijdig in te voeren* 

Tijdsynchronisatie met 
NTP 

Oin TSIG-certifieaten te kunnen 
gebruiken voor DNS-updates, kuii je 
de klokkcn van dc nameserver en de 
clients synchroniseren. Dat lost een 
kip/ei probleem op, want een timeser¬ 
ver zou eigenlijk via zijn DNS-naam 
vindbaar moeten zijn* Maar je kunt 
moeilijk voortdurend handmaiig de 
systeemklokkcn in blijven stetfen, dat 
wil Je automatisch laten gebeiiren. 

De NTP-software van de Universi¬ 
ty of Delaware, die het meesl gebru- 
ikt wordt, kan sinds versie 4,1.73 met 
IPv6 werken. De meeste Unixen be- 


vatlcn ccn IPv6“Capabele versie* 
Voor Soiaris vind je Op www*sun- 
freeware.com een actaeic versie. 
Daar vind je ook twee additionele 
pakketten die ntnlig zijn, readime en 
ncurses, 

OpenBSD heeft sinds versie 3.6 
een vollcdig eigen NTP-implementa- 
tie, die echter administraiieve com¬ 
mando's zoals ntpdc en de ondersteu- 
ning van lokale klokken of 
lijdontvangers mist. Dc ports collec¬ 
tion bcvai de 'normale' mpd. Het is 
echter wal lastig om die te installe- 
ren, want daama moel je ook de boot- 
scripts veranderen. Dit wordt be- 
schreven in / us r/local/share/ 

example s/n tp/ R EA DM E.Open BSD . 

De actuele NTP-versie 4.2.0a kun 
je ook downloaden van www. 
eecis .udel .edu/'-n ip/ntp_spool/ntp4. 
Na het uitpakken gaat de installatie 
zo: 

# ./configure -sysconMirV®lc 

# make 

# moke install 

Een mini male voorbeeldconfiguratic 
in /etc/nJpxonfzltX er als volgt uit: 

server nipO exomple-Com prefer 
pidfile /vQr/ruft/ntpd.pid 

De eerste regel zorgl er voor dat een 
computer van de timeserver 
'ntp(i.example.com' een referentiedjd 
ontvangt. Die server moel natuurlijk 
wel bestaan, in het DNS opgenomen 
zijn en zijn tijd via NTP beschikbaar 
stellen. Op dc server zelf vul je, in 
plaats van de naam van dc rcfcrcnlie- 
server, het pseudo-adres ' 127.127.1,P 
in, zodat dc server zich met zijn eigen 
kick synchroniseert. 

De tweede regel is nodig om er 
voor te zorgen dat een slartscript ntpd 
ook wear kan stoppen, anders zou je 
hot commando killall moeten gebrui¬ 
ken, wat nict allijd beschikbaar is of 
zijn naam echt waarmaakl - onder 
Solaris eti andere System-V Unix- 
versies stopt ktUall alle gebruiker- 
sprocessen. 

Om ntpd na elke reboot opnieuw tc 
laicn staricn, heb je voor Solaris net 
als bij named nog een slartscript 
nodig. In listing 3 zie je hoe de meest 
basale variant er nil zou kunnen zien. 
(Je kunt natuurlijk rmk het slartscript 
van het standaard NTP-pakket aan- 
passen.) Dit script moet je analoog 
aan het slartscript voor named instaL 
leren. Bij FreeBSD kun jc ntpd auLo- 
matisch laten starten met in 
ietc/rc.€onf 


rTlpd_Bnobl 0 =YES 

In NetBSD zel je onderaan 
/etc/rc,local 

sleep 2 # wacht op auloconliguralie 
/usr/locQl/bin/nlpd 

Hierdoor heb je een elementaire tijd- 
synchronisalie met IPv6 aan de praat, 
die net als in IPv4 nog gcoplimali- 
seerd kan worden. In een sne! net- 
werk is het bovendieii mogelijk via 
multicast tijdinfonnaiic tc distribue- 
ren. In veiligheidskritische omgevin- 
gen is het aan te raden de tijdsynch¬ 
ronisatie te authcnticcrcn. Alle 
computers zou den in staat moeten 
zijn zich onderling te kunnen syn¬ 
chroniseren ais de timeserver uilvalt. 
Tensiotie is het zinvol om de timeser¬ 
ver aan een externe tijdsbron op 
GPS- of DCF77-ba.sis tc synchronise¬ 
ren, zoals ook in de IPv4-wereld ge- 
bruikelijk is. 

Hoe het verder goat 

Het is duideiijk dat er nog een aan- 
tal haken cn ogen aan IPv6 zit. Maar 
als je zc vroeg genoeg aanpakl. heb Je 
een degelijke basis om IPv6 op tc 
kunnen bouweii. 

In bet volgcnde deel van deze serie 
in iX i beschrijven wc op grond van 
deze basis een aantal elementaire ser¬ 
vices van IPv6. Daar zuUen we een 
brug slaan tussen [Pv4 cn IPv6 cn 
dan zullen we beschrijven hoe de 
eigen omgeving aan ‘iiiternet6' ge- 
koppeld wordt. 

BENEDIKT STOCKEBRAND 
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Relevante beveiligingsaspecten 
voor internettelefonie 

Open kanalen 


Enno Ewers 

Telefoneren via 

populair, niet ^ ^ ^ 

in het minst '! W':\5 f 5 % 


populair, niet ||i 

in het minst i |5 

uit kosten- 6 


overwegingen. v 
Van de gevaren 
zijn ecbter maar 
weinig gebruikers 
zich bewust. 




V oice-over- J P- u )cp aK si ngc ri m a- 
ken n 10 men tee I een tweede 
hkxjiperimie door* Eri dit keer 
functioneren de basis*serviceji ook echL. 
Het is geeii avontuur nicer om iemand 
via VoIP le bereiken en de spraakkwa- 
liteit is doorgaatis acceplabel. Maar 
terwijl VoIP zich rap vcrbreidt, wor- 
dcn argclozc VolP-gebruikers blootge- 
steld aan diverse gevaren. In dil arlikcl 
laten we zien wal er vcrkccrd kan gaan 
en dragcn we op loss in gen aan* 

Op het internet wordt hei Session 
Inititation Protocol (SIP) momenteel 
het mccst gcbruikt vcw internettelefo- 
nie. Concurrent H.323 is afgehaakt cn 
wordt eigenlijk aliccn nog bij intranet- 
toepassingen uangctrofTen, waar deze 
het speelveld deelt met het door Cisco 
gebriiikte proprietary SCCF (Skinny 
Client Control ProltH;ol), 

SIP is om twee redenen erg populair 
Ten eerste is het eenvoudig, Lekstgeha- 
seerd en vergcljjkbaar met HTTP. Ten 
Lweede heeft de SlP-architectuur veel 
gemeen met die van internet: de verwer- 
king vindL plaais in de eindapparaten* di- 
reclc verbindingen via het net zijn zon- 
der extra bemiddelingsbureaus mogelijk* 
Maar schijn bedriegt* SIP is minder een- 


voudig dan het lijki. Dal bewij/cn de 
mcer dan 35 RFC’s over SIP en zijn utt- 
breidingen die sind.s de oorspronkelijke 
speciftcatie zijn uitgekonien. En nog 
meer RFC-drafLs zijn al in de muak. Het 
venneende vcKirdeel van de architecluur 
onipopl zich daaniaast als de twir/iiak 
van talrijke potentiele hcveiligingspiio- 
blcmcn bij hel koppelen van bet vaste 
Lclcfoonnet (ook wel PSTN genoenid* 
bet Public Switched Iclcphone Net¬ 
work) en SIR Veel van deze risico's 
zijn nog theoretisch, maar zeker tiiel 
onrealistisch. 

Nieuwe techniek - 
oude gevaren 

Ten eerste staan de spammers al in 
de slarlblokken: na spam en spim 
(spam via instant messaging) dreigl er 
nu spit: SPam over Internet Telephony* 
Internetteleronie is namelijk een ho- 
ningpol voor belgrage marketeers* De 
belkosten zijn relatief gering, net als de 
transportkoslcn bij c-mail. Spammers 
die het puur om de aandacht gaau kun- 
nen zelfs vele slachtoffens gclijktijdig 
opbellen* On in legenstclling mi e-mail 


kun je ongewenste gesprekkeo nog niet 
voor ontvangst wegfiUcren* 

Ook ()9()C)“oplichters kunnen zich 
nitleven* dankzij de interfaces lussen 
PSTN en het iniemci: zc kunnen valse 
afzendemummers opgcven, wormen 
vcHir IP-ielefonie praberen le schrijven 
en niet te vergeten staal er een nieuwe 
generatie dialers vtHir de deur, die on- 
gemerkt honderden bctaalgesprekkcn 
tegelijkenijd zoiiden kunnen opbou- 
weii, die de nielsvenTtocdende klanlen 
cen fortuin kosten* 

Ook de verschillende wereldcn van 
PSTN en irUemel brengen nieuwe geva¬ 
ren mel zich mee. Zo Rent SIP een ge- 
heel eigen wijze vaji nummerd<K>rscha“ 
keling: net als H7TP verzendt SIP na 
een gespreksoproep eenvoiidig een *re- 
direct\ die de meeste telcfcKins zonder 
rnorren accepleren* Een redirect op een 
adms van het type *0906xxx@niijn-sip- 
pnividerni' is echler niet gewenst. 

Meer van dit so<>n misverstanden 
koiiicn voor bij iiummerherkemiing. 
Van een gesloten telefbonnetwerk mag 
je aamienien dat een zichtbaar afzert- 
demummer (de caller-id) moeilijk kan 
worden vervalst* maar de betrouwbaar- 
heid van de caller-id bij VoIP is, al 
naar gelang tie hotiding van de SIP- 
provider, onder omstandigheden net zo 
w a aide loos als die van het adres van 
een c-mailaf/ender, Het is alleen min¬ 
der bekend. Niet alleen wtirdt sticial 
engineering op die nianier vergemak- 
kclijkt, tK>k menig voicemailsysteein 
neemt a I gewoon het jiiiste afzender- 
niimmer als identificalie aan om* wan- 
neer de provider geen gtiede aiithenti- 
catie viKirschrijft* de vraag naar een 
geheime code over te si aim cn gclijk 
tot zaken le komen, 

Aanvalien in de pi ive-sfeer zijn ook 
mogelijk en wel op ven^chillcndc manic- 
ren. Onbevctltgde verbindingen kunnen 
gcrnakkelijk worden afgeluisterd* Dat 
kan door meeluisteren aan dc switch of 
de router, ofdtKJr /xigcnoemde Man-in- 
thc-Middle attacks op de toegepaste pro- 
tocollen, maar ook door dc tclcfoon ol' 
de hele telefwnccniralc over Ic ncnicn. 
Met cen gchackte telefoon is niet alleen 
he! afluisteren van gevoerde gesprekken 
mogelijk, Je kunt op dc/c wijze zelfs de 
gcliele ruimte via de telefoon observe- 
ren* Wie meent dat zijn teleftKingesprek- 
ken voor derden lotaal onintcrcssant 
zijn, mtiet zich dat nog eens afvragen als 
hij de Girofoon of een andem htuneban- 
kingcentrale gcbruikt* Om /.ulke "inte- 
rcssanlc^ gesprekken te ontdekken* is 
het niet eens noodziikelijk om ze per- 
sxKinlijk af le luisicrcn: cen ecu voudig 
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• Ook voor internetfelefonie goat 
hef oude liedje op: hl\ nieuwe 
technologiein vergeien gebrul- 
kers aon de beveiliging \e 
denken. 

• EncrypHe behoort nog steeds 
niet tot de standoardfeotures 
van VoIP. Wie niet ofgeluisterd 
w'd worden, meet dear zeif iats 
can doen. 

• Tegen 'klassieke' aanvallen via 
internet helpt een zorgvuldige 
scheiding van alle VolP-syste- 
men von de rest von het 
network. 

• In teganslalling lot da gabruike^ 
lijke telefonie volt VoIP in hef 
beheergebied van de IT'ofde' 
Itng, omdot hel goten kan 
slaon in de IT-beveiliging. 


prog rat nniy diU opgenoiiien gesprekken 
sciini op DTMi*-sequeniJe?i (Dualione 
Multi-Frequency, het type geluideii dat 
een icleroun geeft als je t>p een iticLs 
druki), kan vokeniail-pincodes, credii- 
cardnummers en /eifs honiebanking- 
pincodes afvangen. Een andcrc moge- 
lijkheid tot inbraak kan het VoIP-proto- 
col zelf vortnen: om verbindingeii itio- 
gelijk te inaken kan de firewall te wijd 
openstann, en hei kan mogelijk zijn om 
hiaten en bulTcr-Dverflows te niisbnii- 
ken in telefoons en gateways die allijd 
met het iietwerk verbonden zijn* 

Fxn ding is bij alic VolP-protocollen 
hetzelfde: bij een verbinding vinden er 
twee gescheiden vormen van communi- 
calic plaats. Hcl transport van gegevens 
die voor de verbinding m\( nodig zijn, 
verloopt via het controlekanaal (ook wcl 
bet bcsluringskanaal genoemdk De 
spraakgegevens daarcnlcgen gaan via 
transportkanalen* De standaarden SIP, 
H-323 en SCCP definieren het controle- 
protocol, maardc spraakkanalen gebati- 
ken alle drie variunten van bet Realtime 


Transport PrtUtKol (RTP). Zolang de 
o nde rsteij nde vo i ce - codec s () v ereenko- 
tiien, kiiiineii spraakgegevens diKirom 
direct van cen SIP- naar een H.323-ap- 
paraat gestuurd worden* Dan moet wel 
cen xesxion controller de vena ling van 
het controlekanaal op zicli nemen. De 
eigenlijke reden voor een sc he i ding van 
dc coininiinicatiewegen ligt echter in hel 
kort houden van de latency time (de ver- 
traging van het geluid). RTP-pakketten 
riH)eten zo mogelijk direct van gebnjiker 
naar gebmiker gaan, lerwijl de controle- 
communicatie meestal via cen of meer 
centrale servers plaatsvindt, votsral om 
de atzondcrlijkc gebruiker te kiinnen te 
lokaliseren. 

Omdat de RTP-gegevenssirtxim sian- 
daaid niel versfeuteld is, is afluisteren 
uitgesproken eenvoudig (door op het 
netwerk te sniffen). Bijv(K>rheeld met dc 
R'IT-uh)Is rtixiwnp en rtppiay, die dtxir 
de auteur van hcl tiorspronkelijke SIP, 
Henning Schulzrinne, zijn gcschrcven. 
Het ccrsie programmu dat speciaal voor 
afltiisteren is gcmaaku heelte Vomit 
(Voice Over Misconilgurcd IP I'clepho- 
ncs). Dtuu inee warden de tvpduntp-hc- 
standen van gesprekken via CisccKieJe- 
foons in WAV-audio omgezet. Aanzien- 
lijk conifojiabeler is VolPong, dal zelf 
annistert en in reiiltiitie opneemb Het 
onden>teiint alle op RTP gebaseerde pro- 
locollen (SIP, H.323 en SCCP). Een 
under prugraniina in deze scene is de 
sniffer Cain & Abel, die zich Viui wacht- 
woordkniker tot alleskunner hccfl unt- 
wikkeld. Dit programma heeft ARP-re- 
dira:tion, sniftlng en RIP-decodering in 
een eenvoudige Windows-in ter face 
gdnlegreerd (afbeelding 1). En ten slotte 
beschikt inlussen ook de prolocol-analy- 
zer Ethereal over methtxlen v<K>r hel fiP 
teren van afgeluisterde VoIP-gesprek¬ 
ken. 

Encrypfie helpt 

Tot zover de bangmakerij. Het is 
gelukkig ook mogelijk om gesprekken 
voor vmemde oren af te schermen. In 
dul geval inoet je beide kanaien bevei- 
ligen. Voor hel spraakkaiiaal bestaat 


daarvoor Secure RTP (SRTP). Voordat 
SRTP de gegevens verslcuteld kan 
overdragen, moet natiiurlijk eerst een 
sleutel worden uiigcwisseld. Dal wordt 
gedaan door een speciaal voor dit docl 
ontwikkeld proiocok genaamd MI KEY 
(Media Internet Keying). Dit protocol 
werkt zelf ook via het controlekanaal, 
hijvoorbeeld via SIP. 

Bij het controlekanaal gaan de pro¬ 
tocol len vanzeltsprekend bun eigen 
weg. Het ligt voor de hand dal het op 
TCP gebascerde SCCP gebruikrnaakt 
van de vtx>r TCP/IP ontwikkcldc slan- 
daard VLS (Transport Layer Security) 
respeclievelijk dien.s voorganger SSL. 
Bij SIP, dat op het vcrbindingsloze 
protocol UDP is gebaseerd (SIP over 
TCP kwam cr pas later bij), gaa! en¬ 
crypt ie lang niet zo gemakkelijk. Li^ 
genlijk is TLS daarvtxir niet geschikt, 
want hcl kan geen verloren gegane 
pakketten verwerken. Bij gebrek aao 
een alternatief wordt TLS toch maar 
ingezet; dit protocol heet SIPS (SIP 
Secure). Zcxlra cen client cen SIPS- 
URL opmerkt, moet hij TCP toepa.s- 
.sen. Begini de URL daarcotegen met 
'^SIP’ dan TTxx:l hij op UDP overscha- 
kelen, want oudere clients begrijpen 
a I lee n deze protocol variant. 

Secure RTF (SRTP) werd toi nu foe 
vooral bij SIP en SCCP geYmplenien- 
teerd, maar staat nu ook oftlcicel ge- 
pland voor H.323, oin precies te zijn in 
recente drafts van dc bevciligingsstan- 
daard 11.235* Cisco, dar zelf aan dc 
SRTP-standaard meeschreef, levert 
sinds tebruari 2(X)5 SRTP-iinplementa- 
ties voor zijn lP-telefoonm<xlelrceks 
79xx, V(Kjr zijn CallManager en access 
routers met VoIP-ondersleuning. Ove- 
rigens werken die implemcnlatics al- 
Iccn met Cisco’s eigen SCCP/TLS- 
siandaard cn is ook de CallManager 
vereisl. Implementaties v;in SRTP voor 
SIP worden tot nu toe aangeboden 
door hedrijvcn als Sipura en Snom, 
daar in combinatie met SIPS. Vtxir As¬ 
terisk (zie pagina 76) is momeniccl 
nog gecn oplossing* 

We mogen ook initialicvcn in de en- 
cryptie en beveiliging van de onderste 


Afluisferen ^deluxe': met de 
wochtwoordkraker von 
weleer Cam & Abel, die RTP- 
codering en nog meer 
functies vio een Windows- 
interface mogelijk moakt, 
kun je tegenwoordig 
□ndermans gesprekken 
zonder veel moeite volgen 
(afbeelding 1|, 
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nelwerklagen nict onvermeid laten, 
/iYdls JPSec, SSL-VPN of - bij VoJP 
over WLAN - WPA. Hel gebruik daar- 
van biedl echter alleen extra veiligheid 
als je elk dee! van het neiwerk waar hel 
telefoongesprek doorheen gaat onder 
controle hebt. Dal h bijvoorbeeld het 
gcval bij intranetten van bedrijven waar 
VoJP-communicatie uilsluitcnd intern 
plaatsvindt, en waar ctjmmunicatie naai' 
builen toe verloopt via SBC's (Session 
Border Controllers^ zie verderop in dil 
verhaal) of via ielcltH)nleiclingen* Dan 
bevciligcn dc/^ encryptiemechanismen 
altijd enke! de afzonderlijke delen (*hop- 


Voor veilig gebniik van VoIP bin- 
nen bedrijfsnetwerken gclden twee ba- 
sisregels. Ten eerste: geen directe 
VoIP-verbindingen via inierneU en 
geen verbindingen nicl computers die 
direct iniernetconlact hebben. Ten 
Lweede: elk VoIP-apparaat is ook ge- 
woon een computer met software, dus 
regelmaiig patchmanagement is, net als 
voor de rest van de IT, onontbeerlijk. 

Door afwezigheid van direct con¬ 
tact via internet kun je hel gevaar ver- 
minderen dal indringers VoIP-sysle- 
men aanvailen door te mikken op 
gaten in protocollen. Juist SIP met 
zijn open architectuur biedl veel gele- 
genbeden voor programmeertbuten en 
bufferoverflows in eindapparaten, 
Daamaast is SIP sleehts met veel 
moeite, en zelfs dan nog niet in alle 
gevallen, met iircwalis te filteren. 

Door de VoIP-telefoons van de 
wcrkpiek-pc’s op het intranet te 
scheiden, verklcin jc de risicoLs die 
van (bijvoorbeeld door virus sen of 
Trojaanse paarden) besmeiie compu¬ 
ters iiitgaan. 

Oiii zob separaat Vo IP-net werk te 
kunnen opbouwen is geen eigen ly- 
sieke infrastmetuur iiodig. De meeste 
fabrikanten bieden op VLAN geba- 
seerde oplosstngen aan, waarbij de 
telefoons zelf S02. Iq VLAN-lags 
ondersteuneiL Zo wordt het VoIP-ver- 
keer gescheiden van het daiaverkeer 
op de werkplek-pc, die is aangesloten 
via een switch die in de telefoon* 

Jc mod hierbij we I oppassen dal er 
geen andere beveiligingsdoelen wor- 
den geschonden, bijvoorbeeld de toe- 
gangsheveiligiJig, Netwerken met ge- 
authenticeerde poorlloegang via 
802. lx zijn voor lo'n structuur tot nu 


by-hop’), maar nooit de totale verbin- 
ding (‘end-to-end’). 

Een ander nadecl Legenover de op 
SRTP gcbascerde aanpak is, ten min- 
sie bij IFSec en SSL-VPN’s, de grotcrc 
overhead per pakket. En die is bij 
VoIP iiiaar al tc sne! merkbaar als ha- 
peringen in het gesprek. 

Poorten en firewalls 

De scheiding tussen media- en con- 
trolegegevens bij VoIP-ct5mmunicatie 
veroormaki typische problemen bij 


toe niet geschikt. Dat wordt duidclijk 
aangetooiid door een security advis¬ 
ory 111 over bet gedrag van I OS- en 
CalOS-gebaseerde Cisco-sw itches, 
Bij geactiveerde 802*lx-port security 
slaan die ook zonder aulbenticatie een 
verhinding met hel Voice-VLAN toe, 
lenminste zolang een aangesloten ap- 
paraai via hel Cisco Discovery Proto¬ 
col (CDP) als Cisco-VoIP-telefoon te 
hei'kennen is en een bij het model 
passend MAC-adres bezik De oplos- 
sing voor het probleeni kan duur wor- 
den: wanneer Je aan VoIP en data ge¬ 
scheiden poorten toewijst, Ireedt het 
probleem weliswaar niet nicer op, 
maar zijn plotseling wcl iwcemaal zo- 
veel switch-ports nodig als eerst, 

Als VoIP-verbindingen ook over 
de grenzen van hel eigen bcheerdo- 
inein heen moeien worden gevoerd, 
bijvoorbeeld naar internet of naar 
aangesloien extranetten* kun je meest- 
al niet om een Session Border Con¬ 
troller (kortweg SBC) been. In tegen- 
stelling tot een firewall, die allecn kan 
proberen om op protocollen te tlhe¬ 
re n, fyncLioneeri een SBC net als een 
application-level proxy, Zo’n proxy 
onderhandelt met dc VolP-clieni en 
geeft vervolgens zichzelf in beide 
richiingen voor client uit. Om maxi¬ 
male beveiliging ic bereiken kan hi] 
zelfs de verbinding ontkoppelen door 
een ISDN-brug te starten. 

Literatuur 

|1J Security Advisory voor 
Cisco 802.1 xen VoIP: 

w w w, Rshnetsecuriiy .coni/csiri/dis 
closiire/cisco/Cisco+802.1 x+Adviso 
ry.aspx 


VoIP-verkeer door firewalls, De tKK)rt- 
nummem en doeladresscti van RTP-ge- 
gevens zijn dynamisch en worden pas 
dtK>r het controleprotocol bepaald, Een 
ander kenmerk van de R'rP-communi- 
catie is dal deze andere wegen kan in- 
slaan dan hel controlekunaal Terwijl 
bijvtxirbeeld de SIP-aanvraag via een 
centrale SfP-proxy verloopt, wisselen 
gebruikers direct onderling via de RTP- 
stream gegevens uil, Dil type cummuni- 
catie is ook de belangrijksle reden vcKir 
de aanhoudende eontlicten (ussen VoIP 
cn N AT (Networic Address Translation), 

Het is een extra cis aan firewalls dal 
deze p<K>ricn dynamisch kunnen worden 
geopend en gesloten als dat nodig is 
vcKir een telefoongesprek, Voor het vrij- 
geven van de juiste poorten zijn speciale 
nuKlulcs ntnlig die de VoIP-protocollen 
begrijpen en zogczegd ‘on demand’ dc 
poorten vrijgevcn. Deze tcchniek wordt 
iiicl cen fraat woord ‘pinhoLing* ge- 
noemd en is, bijvoorbeeld vtKir SIP cn 
H,323, in vele firewalls beschikbaar, 
Maar ook deze modules brengen weer 
him eigen beveiligingsprobicnicn met 
zich nice: als een aanvallcr in slant is 
Jouw controlcberichien te vervalsen, of 
cen achler de firewall geplaalstc host 
ertoe le biciigen zo’n berichi af te geven, 
kan litj praktisch willekeiirig gaten in de 
lirewall-configuratie slaan - ten ininsle 
op UDP-gebied. 

Als dc controlecommunicatie ook 
nog eens versleuteld is, kan dc firewall 
weinig meer uiirichtcn. Nu hclpt nog 
maar c6n ding Eegen mogetijke indrin¬ 
gers op een VoIP-poort: een zogenoem- 
de Session Border Ct)niroilcr (SBC), die 
de versleutcling lostomt’ (zie kader 
‘VoIP in bedrijfsnetwerkeji’). Deze in- 
troduceen wel weer een nicuw risico: de 
SBC niaakl daarmce /ich/eif namelijk 
iH)k Lot aanvalsdoel 

Natuurlijk zijn ook VolP-adaptcrs, 
-telefoons en -centrales gewoon compu¬ 
ters met soltware. Buffer-overflows en 
andere beveiligingsgaten kunnen iclc- 
foons openzetlen vtnir ovemame dex^r 
ongenode gasten, foulen in de imple- 
menlatie van het protocol doen dc rest. 
Het meesial op UDF gcbascerde SIP 
maakl bet aanvallers gemakkelijk om 
een groot aantal apparalen SlP-pakket- 
ten te sturen met vervalsle af/endera- 
dressen. En veel SlP-telefoons nenien 
het met de controle daarvan niet al te 
nauw: teiivijl bijvoorbeeld hel {>pzcLicn 
van een iclcfoongesprek naar een be- 
Kchenmde gateway via INVITE altijd au- 
thenticatie vereisu nemen veel tclcfixms 
deze bij het BYE-pakket voor lief Het 
/al beslist niet lang dtiren voor er deni- 
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KNOWHOW 


VolP-beveiliging 


ONLINE BRONNEN 

Een rel&vofi^e wikt: 

www^voip'Jnfo-org 

Security ConiideroHoris for Voice Over IP 
Systems: 

csrc- n ist.g ov/p uh Iko lion s/n i s Ipubs/ S 0 0* 
58/5P800-S84inol,pdf 

VOIP Security Alliance: 

www.voipso.oTg/ 

Coir) Abel: 

WWW. oxid jl/ CO i n .Mm I 

S. Bo set, H * Schulzrinne over Skype: 

WWW .c s xo! m bi oxd u/ " li bra ry/TR^ re po si' 
lDry/reporl 5 /repofls- 200 i/ct^cS' 039 - 04 .p[if 


al-of-service-aUack!v komen die hier 
misbruik van maken. 

In heL eigen intranet is dat nog veel 
siriipeler: bepaaldc iclefoons vertrouwen 
in de siandaardconflguraiic de cerste de 
beste DHCP-server die antwcHvrd geeft, 
en laten /.ich zelfs nieuwe firmware- 
images aansmeren. Maar tM)k cen een- 
voLidigc bnito-force-aanval t>p de waehl- 
woorden van maniigenieni-interfaces bc- 
looft enig succes. 

HcL Ls niei eens nodig om dc lele- 
foonsoftware te veranderen om bij zo'n 
aanval de telefoon te vemnderen in een 
ailuistersysteem voor de hcic ruiinte. 
Cisco-icicroons met SlP-firmware be/it- 
ten via him telnel-inLeri ace een testcom- 
mando, waarniee de telef<.Kin volledig 
op afsiand kan worden bediend, zelTs 
zonder dal iemand de hoorn opneemt 
(albeelding 2), Onder SCCP is die func- 
tionalitcil al in bet protocol ingebouwd, 
De server bcMuurt hel display en de mi- 
emfoon gescheiden. *Vergcet’ luj het 
display van het apparaat, dan merkl dc 
gebniiker cr nicLs van dat hij letter! ijk 
wordt afgeiuisterd. 

Skype 

De populairste VoIP-soft ware voor 
thuisgebruik is Skype. Dit pmgramma 
versieuteli sLandaard zijn verkeer. Vol- 
gens de fabrikant past Skype voor de en- 
cryptie van spraak- en conmjlcgegevens 
AES (Advanced Encryption Standard) 
toe met 256 bit. Om de AES-sleutel te 
bepalen gebruikt Skype RSA met 1024 
bit. De centrale Skype Server certitlceerl 
tenslotte bij hel inloggen alleen nog de 
openbare sleiitel van de gebniiker met 
1536- or2()48-bit RSA-certiflcaren* 

Deze specitlcatics zijn niet zonder 
meer te controleren. omdal Skype een 
proprietary protocol gebruikt Enkclc 
geinteresseerdcTt waaroiider de STP-au- 
leur Henning Scbulzrinnc* hebben bet 
73 


Skype-netwerkprotocol daarom begin 
20(14 a) aan een preciezerc lest onder- 
worpen en de resultaten daarvan gedo- 
cumenteerd (zie kadcr ‘Online Bron- 
nen’), waarin o*a. de gebmikte audioco¬ 
dec en het NA'l-algoritme zijn hlootge- 
legd. 

De encryptie zelf kan zonder bulp en 
documefitalic van de fabrikant echtcr 
moeilijk worden gctcsl, dat kost onder- 
zoekers teveel tijd en mocite. Hoe be- 
trnuwbaHT Skype dus echi is, bUJfl cen 
raadsel en dat aspect maakl het gebruik 
ervan in zakelijke omgevingen niet erg 
aantrekkelijk. Erger nog, via de .services 
Instant Messaging en File Transfer die 
bij Skype zijn inbegrepen, zoudeii onge- 
merkt ^rmjaanse paarden en virussen hei 
bedrijfsnetwcrk kulinen biimendringen. 
Omdat Skype net als Ka/iia op peer-lo- 
peer gegevensuitwisseling bentst is zoe- 
ken naar dc brtm vm het vims in /.o’n 
geval onbegonnen werk. Uit de IP- 
adressen van communicaticparincrs vaJt 
namelijk geen conclusie te trekken. Het 
IP-adres kan tenslotte van andere Skype- 
gebruikers zijn, van wie dc Skypc-clieiit 
een bcsland of gesprek heeft doorgesta- 
urd voor een hacker die weer achter een 
NAT-gateway zit 

Tot slot is Skype niet erg ge^schikt 
voor bedrijvcn die de controle over hun 
systemen graag in eigen hand hebben 
vanwegc het businessmcxiel van de 
Skype-exploiiant Die verdieni namelijk 
zijn geld aan mensen die Skype 
willcn koppelen aan convcntionele 
telefoon-aansluilingen (‘SkypeOuf en 
‘Skypeln‘). Het gevolg is dal alleen ga¬ 
teway-servers van de exploitanl kunnen 
worden gebruikt* Waar die staan, is niet 
transparant. Het bedrijf zctelt offtcieel in 
Luxemburg, de ontwikkelaars /itten in 
Estland en dc login-servers staan in Am¬ 
sterdam. Vallen gateway of login-ser¬ 
vers nil, of zou de fimia Skype met de 
ntxirder/on vertrekken, dan moeten ge- 
bruikers niet alleen op een andere aan- 
bieder oversiappen, maar{H)k op cen an¬ 
dere technologie. Daarentegen kan 
Skype v<X)r privc-gebruikers juist heel 
aanu^ekkelijk zijn, want het runclioneert 
eenvoudig cn het biedt ten minste al bc- 
scherming legcn Loevallige afluisteraars. 

Conclusie 



Een nachtmerrie voor becfri[ven; via 
Telnet kunnen enkele typen telefoons 
op of stand worden bediend, zodot je 
za ongemerkt in afluisteropparafuur 
kunt veranderen (afbeelding 2)* 

wordt o.a* gcwciki door de VoIP Securi¬ 
ty Alliance, die begin 2()05 is opgericht 
(zie voipsa.org). In oktober heeft deze 
organisalie een vrij makkelijk leesbarc 
inventarisatie van Lheoretische beveili- 
gingsrisico*s vrijgegeven, waarvan cr al 
een aantal in dit artikel ztjn genoemd. 

Twee trends in de VoIP-beveiliging 
zijn merkbaar: voor communicatie via 
het openbare internet werken diverse (a- 
brikanten aan aanvuUende end-to-end 
oplossingen, zoals SIPS/SRTP. Typisch 
vomien authenticatie- en trust-mccha- 
nismen de kern van wat er aan functio- 
naliteit wordt toegevoegd. Biiuien be- 
drijfsinteme intranetten is de oniwikkc- 
ling juist toegespitsl op beveiligingseon- 
cepten die VolP-toepassingen zo ver 
mogelijk van de rest van het inlrancl af- 
scheitien* Liefst worden ze in eigen vir¬ 
tue le netwerken gcplaatsl, zogenaamde 
VLAN's (Virtual Lcx:al Area Network) 
en via SBC"s van de buitenwereld geVso- 
leerd. Dit alles met het doel om zonder 
aativullende maatregelen reeds nu een 
minimaal beveiligingsniveau te berei- 
ken* 

Met de intochi van VolP-icchnoIogie 
in dc wcreld van de telefonie worden te- 
lefoons en tclcfooncontrales definitief 
cen onderdeel van de IT-infraslrucluur 
en moclcn ze ook als zodanig worden 
behandeld. Spccillck voor bedrijven be- 
tekent het dat ze telefonie moeten be- 
irckkcn in him beveiligtngsarcbiteeiuur 
en dat ze het paichrnanagement ervan 
moeten toebedelen aan de 11-al'deling* 


Qua beveiliging staan VoIP-systemen 
nog grotendeels in de kinderschoeiieii* 
Dc gebruikers beseffen de risico’s niet 
cn de besehikbare beveiligingsmaatrege- 
len laten nog een htxip vragen onbeant- 
w<K)rd Aan 'best practice'-riehllijneri en 
standaarden iim VoIP te gebruiken 
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THEMA 


Voice over IP 


Asterisk-tutorial deel 1: 
de installatie en de eerste 
stappen 

VoIP binnen 
het bedrijf 

Thilo RoBler 

Voice over IP rookf behoorlijk in zwong, 
maar het huidige aonbod is nog niet erg 
geschikt voor algemene bedrijfs- 
toepossingen. Vooral voor het interne 
telefoonnet van een bedrijf kan VoIP erg 
interessant zijn. Een pc-gebaseerde 
telefooncentrale die het gratis 
verkrijgbare Asterisk gebruikt, kan 
hiervoor als basis dienen. 



I n de jai'cn negenlig gold Lelcfoneren 
via inLcmei al als een belofte voor de 
toekomst, maar door het tekort aan 
bandbreedie verdween hcl idee snel naar 
de achtergrt)nd. [nmiddels staat het 
fcnomeen, ook wel aangeduid als Voice 
over IP (VoIP)» weer volop in de schijn- 
werpers* Op dil moment moet VoIP het 
vt)oral nog hebben v<in thuisgebruikers 
met Skype of MSN* het bedrijfsleven is 
vooralsnog lemghoutlcntl. Rr is wel veet 
intcresse; vooral voor de open-source 
telefooncentrale Asterisk* waannee bc- 
drijven intern spraak kunnen versturen 
over bun interne cornputemetwerk. Zo 
kunnen ze profiteren van de voonJelcn 
die de conibinalie van VoIP en open- 
souirc biedt 

Onze driedelige tutorial geeft uitleg 
overde interne VoJP-communicatie van 
bedrijven en thuisgebruikers met Aste- 
risk» In dit eerste deel gaan we in op de 
basisinstailatie en -archilcctuur en be- 
handelcn we tcvens de vereiste hardwa¬ 
re. Bovendien wordt in dit deel een een- 
voudige aansluiling bcschreven van 
zogenaainde SIP-telefoons (zie voor af- 
knrtingen ook de woordenlijst aan het 
eind van dit artikel) en wordl de basis 


voor een dialplan uit de doeken gedaan. 
In deel twee behundclen we tie telefoon- 
aansluiiing in detail, en diverse mogelij- 
ke dialplan-configuraties. Ook zullcn we 
aandacht besteden aan het gebniik van 
vtHccmailboxen, het toewijzen van rech- 
ten en het opzetten van een ISDN-ver- 
binding. Deel 3 laal zien hoc je ineerde- 
re Asterisk-systemen in een netwerk 
onderbrengt en hoe je Asterisk als 
VoIP-gateway voor lelccommunicatie- 
installatics gebruikt. Daamaast ziillen 
we daarin enkele special istisclie tips en 
trues presenteren. 

Oin deze tutorials te volgen, kun je 
grotendeels toe met een of meerdere 
coinpiiters. Een Asterisk-.server onder 
Linux* die vexjr/ien is van een geluids- 
kaart, kan dienst doen als telefoon. Deze 
server kan met het conimandi) dial an- 
dere aansluitingen benacleren, Als je ser¬ 
ver niet over een geluidskaart beschikt, 
kun Je de module snd-dtimmyJc o uii het 
Alsa-pakkcL gebruiken om zo'n kaart te 
simuleren. Dan hoor je weliswaar niets* 
maar je kunt bij wijze van lest in ieder 
gevaJ het ^^jV//-commando gebruiken. 
VtK)r het echte telefoneren kun je diver¬ 
se programmaatjes gebruiken (cK>k wel 


soft phones geheten), die mcestal gratis 
verkrijgbaar en ruim vt>ldt>ende zijn 
vtK>r on/e experimenten. Voor het aan- 
sluiten op het ISDN-net gebruiken we in 
deze tutorial aclieve kaarten van Eicon 
Networks, die vcK>r thuisgebniikers 
eigenlijk te duur zijn. Als altematief kun 
je ook goedkopere passievc kaarten 
gebruiken, bijvtKJrbeeld de Fritz-modeI- 
len van AVM. Deze kaarten doen de 
conversie tus,sen analoog en digitaaJ niet 
via hun eigen processor* maar gebruiken 
daarvoor die van de pc. 

Als je een Asterisk-telefoon central e 
will aansluiten op een VoIP-provider, 
dan mc^et je rainimaal een aansluiting 
met een 128 kbps upstream licbbcn. Als 
je een ongecomprimccnJc geluidscodec 
zoals 'a-law' gebruikt, dan zou deze 
bandbreedte in ieder geval in thcorie 
voldoende inoeten zijn vtK>r twee pamL 
lei gevoerde gesprekken. Aangezien het 
niet bij 64 kbps blijft voor de digitalc 
spraakdaia, maar cr bandbreedte 
vcrloren gaat aan de oveitiead tijdens de 
overdracht (en er meestal ook nog ande- 
re data over de aansluiting raasi), zijn 
twee kwalitatief goede simultane 
gesprekken in de praktijk hoogst 
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AC 3 

• V^ice over IP is voor ondememin* 
gen vooral in-house handig, moor 
ook voor de verbinding mel Filia 
len. Een IP-felefooncentrale is 
gemokkelijk op !e zetten ols een 
pc woorop de gratis softwore 
Asterisk geinstalleerd wordt. 

• Voor het testen van de Asterisk- 
configurotie zijn met name tel& 
FoonprogrQmmaafjes ('soFtphones') 
geschikf. Voor veel platforms zijn 
deze groHs verkrijgboaf. 

• Door midde! von een diolplon 
worden de in VoIP gebmikte IP- 
odressen in Asterisk toegekend 
□on traditionele doorkiesnummers. 
Zo kunnen gebrurkers de bekende 
nummers blijven gebruiken- 


Inhoud v^n.de tuto¬ 
rial 

L 

Itthductie, IriuulbNe, attnsiLiiling m 
sflftplionej 

Dee! II: 

Complext diaiplnns, ISDN^onsliirllDg. vulce- 
mail en recrienbeheor 

D^el Hi: 

Asterisk in hef ftelwerk tfeisluittrr van 
besdiikbore r&koiTHiistalluties, rips en rmts 


onwaarschijniijk. Hot gebruik van com- 
pressiecodecs kan hier hulp bieden. 
Maar dan nog kunnen lopende uploiid;; 
bij geringc bandbrecdLe filter veroorza- 
ken en de gesprekskwaliteit aanzieiilijk 
verslechteren, 

Dc Asterisk-keni heeft 4 hoofdtaken. 
De bekngnjkste is 'PBX Switching', die 
de belangrijkste opdrachten van een te¬ 
le fixin in stall alie uilvoert, zoals het door- 
verbinden van een be Her met de juiste 
onivangen De ’Codec Translatc^r' zet ge- 
gcvcns van verschillende audicpcodecs 
om naar een vtKir bcide partijen bruik- 
baar foimaat. Op deze manier kan Aste¬ 
risk een brug slaan tussen eindapparaten 
die niei over een gemeenschappelijke 
codec beschikken, of gespreksdaia mel 
een ct>dec conipriinereii en deze data 
dtM)rsLuren naar eeii internettelefoon- 
maaLschappij, De 'Application Launcher' 
diem om bijbehorende programma’s op 
ic slarten, zoaJs het voiceniailsysteeni. 
Ten slotte is er nog een 'Scheduler and 
I/O Manager’, die de diep in hei sysleem 
gcwoitclde taken controleert en de opti- 
male performance ervan steeds prob^rl 
te waafborgen. 

Onderdelen, architectuur 
en installatie 

Hoe een bepaalde opn^ep binnen- 
koml, is van weinig lot geen belang voor 
de Asterisk-kem. Verschillende APFs 
bovenop de kem abstraheren dat loch 
weL De belangrijkste is de 'Channel 
Apr, Dc/e zorgt ervoor dat Asterisk met 
verschillende apparaten kan eommuni- 
ceren, of dat no IP-telefoons zijn (ol' 
andcre eindapparaten) die SIP, H323 of 
IAX2 als protcxrol gebruiken, lelefoons 
aan analoge of ISDN-kaanen of weike 
andere tcchniek dan ook. De enige ver- 
eiste is een gcsehikic Channel-driver 
De 'Application API' zorgt ervoor dat 
ook exteme applicaties ('conferencing', 
'paging', 'directory Hsling') geladen kun¬ 
nen worden. De 'Codec Trdnslah)r API' 
laadt de support voor alle codecs waar- 
mee Asterisk moet kunnen werken. Ten- 


slotte zorgt de 'File Format API' voor hei 
lezen en opsJaan van data, zodat je bij- 
vot)rbeeId tekfoongegevens kunt loggen 
of achtergrondmuziek kunt opnemen uit 
geluidsbestanden, 

Versehiilendc Linux-aanbieders heb- 
ben Asterisk in bun assoriiment, Er zijn 
zelfs distributes verkrijgbaar die speeL 
iial bcdocld zijn om Asterisk-systemen 
mee te maken (bijvtK)rbecld www, 
astlinux.org). Met de broncode op de 
homepage van het Astlinux-project kun 
je je eigen Asterisk-systeem sanienstel- 
Jen. Op www.asterisk.org vind je ver- 
sehillende pakketten, waarvan vooronze 
basisconftguratie het pakket usterLsk- 
J.OjiJar.gz loereikend is. Hcl pakket 
beval een eigen Makefile (de Jeon figure 
uit de vorige versic is vervallen), Ais je 
gedeeJten van Asterisk in afwijkcnde 
mappen wilt installeretu dan nioet je aan 
de bijbehorende variabekn in liet Make¬ 
file (ASTCONFPATH, ASTMANDIR, 
ASTBINDIR enzovoort) eigen waarden 
toekennen, Als je de gegeveiis van de 
eindapparaten in een MySQL-dalabase 
wilt opnemen in plaats van in contlgura- 
tiebestanden, dan moet je de Makefile in 
de sitbmap channeh nog bewerken en 
de waarde I toekennen aan de variabele 
USEJ^fP__MYSQLJRIENDS. Daar 
vind je overigens ook IJSE_MYSQL_ 
FRIENDS, waarmee je de [AX2-aan- 
sluiiingcn kunt definieren in een 
MySQI.-tabeL 

Naast de gebniikelijke componenten 
die vereist zijn voor hei compileren van 
programma's zijn voor hei opzetten van 
een Asterisk-systeem ook nog de pak- 
ketien lihtermcap, libtermcap-devel, 
ncurse.^, ncurses-devel cn myiiqFdevel 
nodig. Het laatste pakket is overigens 
allecn nodig als een van de hierboven 
genoemde MYSQL-variabelen de waar¬ 
de I heeft. Met make en make Install 
volttx>i je de installatie en met make 
samples genereer je diverse voorbeeld- 
bestanden. Dez^ zijn handig wanneer je 
wilt voorkomen dat Je bij je eersle eigen 
configuralie bij nul moet teginnen. 

Als je graag een wachtmuziekje wilt 
opnemen voor de hellers die wachten op 
de eerslvolgende vrije lijn, dan moet je 
de commandlinc-mp3-speler mpgI23 
installeren* en Uefst de originek versie. 
Dc klocmversies die bij de verschillende 
Unux-distributies gclevcrd worden (bij- 
voorbeeld mpgSll) hebben namelijk elk 
hun eigen onhebbelijkheden. Je kunt 
mpgl23 meeslal in je eigen distributie 
vinden, en anders kun je het met make 
mpgJlS installeren vanuit de map met 
Asterisk-sources. Aajigezien dit com- 
iiiando de broncode van inlcmei haalt. 


moet je wel een weiicende inicmciver- 
binding hebben. 

Teiefoons 

In principe kan Asterisk met iedere 
telefoon overweg, zolang er vtxjr het 
dcsbclreffeiide protocol tmar een Chan¬ 
nel-driver bestaat. Het Session Initiation 
Protocol (SIP) is de standaard vcH>r cind- 
apparateiL Het Vroeger' wijdverbreide 
H,323-pn>UK:ol is inmiddels op zijn re¬ 
tour en het IAX2-protocol, dal (x>nvpron- 
kelijk onlworpen was om Asterisk-sys¬ 
temen in cen nelwerk te hangen, is nog 
maar op weinig eindapparaten te vindeii. 

Or is een enorm spectnim aanbieders 
van SIP-lelefoons, en ook de modellen 
verschilkn onderling slcrk in toe pas- 
singsbereik, functional iteit, design en 
prijs. Wij besteden hier aandacht aan 
softphones. De diverse varianten zijn 
geschikl voor de verschillende besiu- 
ringssysicmen. Zo is er bijvoorbeeld het 
gratis verkrijgbare X-Lite, dal geschikt 
is voor meerdere platforms (afheelding 
1). Dit is qua kwaliteit en features goed, 
maar de interlace en dus de bediening 
ervan is verre van intuiticf. Skype- 
ciients zijn ongeschikt, omdat deze de 
siandaardpniirjcollen niet ondersteunen. 

Asterisk communiceert met ISDN- 
hardware via de Channel-drivers, Over 
de koppeling van de verschillende 
Channel-drivers met de besturingssys- 
teem-inlerfaces en -modules volgt meet 
in dccl 2 van deze tutorial. 

Als je analoge apparaten will aanslui- 
ten op je Asterisk-server, dan kun jc be- 
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platforms 
[afbeelcling 
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halve ATA-hardwai’e {aiialoge LelePtxin- 
adapter) bijvoiirbecld txik dc analoge 
kaartcn van Digium gebniiken, Maar 
aangezien dit scenario diet vaak zal 
voorkonieii, gatUi wij cr hier nici diepcr 
op in. Als jc loch xo'n setup wilt uirpro- 
beren, moet Je er rekeniiig niee houden 
dat je analogc kaart voldocndc bcispan* 
ning inoel Icvcren aan de analoge tele- 
l'(K>n, /(xlat degene die gebeld wordl ook 
daadwerkelijk een belsignaal hiK)rt, 

Een prakMjkvoorbeeld 

We rich ten een den kbeeldig vennoot- 
schap op met de naain VoIP B.V. Hcl 
bedrijr hccll vcsligingen in Nederland 
en een aantal in himrlanden* I let huofd- 
kantoor in Amsterdam is met 130 mede- 
werkers de grm>iste vestiging* Momen- 
iccl maakl het bedrijf nog gebruik van 
een traditionele telefooncenlrale, maar 
het leasecoiilmct loop I binnenkort al De 
verbinding met hel exteme telefoonnel 
komt tot stand via een S2M-aansluiting. 
De filialeii beschikken ook over een tra- 
ditionclc leleitxinccntrale, maar hebben 
slechts vier tot aclit SO-aansluitingen. 

VoIP BV wtl overstappen op een 
lelecommunicatic-infrasinictuur die ge- 
baseerd is op Asterisk. Enerzijds omdat 
de tmditionele telecomapparutuur tluur 
is in de aanschaf, ander/ijds omdat het 
bedrijf van plan is om zijn CRM- 
oplossing uit te breiden met Computer 
Telephony Integration (CTI). De open 
interfaces van Asterisk zorgen juisl 
daarbij voor aanzienlijkc tlnanciele 
voordelen ten op/ichte van de gebruike- 
lijko apparatuur, want die heeft dure 
drivers nodig en de kosten zijn boven- 
dien afliankciyk van hei aantal gebnii- 
kers. 

De heer Janssen van de icbafdcling 
moet in een prtx^fomgcving nagaan of 


Asterisk als telefooniiistallatie in staat is 
om met de huidige generalie IP-tcle- 
foons de telecom-rnsuillalie te vervan- 
gen. Hij gebmikt hiervoor in eerste in¬ 
stant ie zijn eigen coinpuler* hij insial- 
leert een acluelc Linux-dislributie en 
uompileert Asterisk handmatig. Boven- 
dien installeeit hij de softphonc X-Lite 
op enkele pc's. 

In deze testtase is hel aan te j aden de 
Asterisk-server op te starteri met hcl 
commando /usr/shin/asterLsk -c. De 
(jpiie ~c zorgt ervoor dat de command 
line interface (CLl) versehijnl. Via deze 
interface kun je een over/ichl opvragen 
van de pn)cessen die op dat moment ac- 
rief zijn, maar ook je eigen acties uitvoe- 
ren in Asterisk. Bij de start van Asterisk 
he pale n een of meer -v -opties hoeveel 
intV>niiatie de CLI weergeefl (-vvvvv be- 
rekent erg veel). Je kunl een Asterisk- 
server hel bcsle met een script opstarten. 
Daama kun je met asterisk -r de verbin- 
ding opzetten met je CLl. 

SIP-telefoonnummers 

SIlMelefoons kunnen weliswaar di¬ 
rect met elkaar comniuniccren, maar 
daarvoor mocl jc wcl dc complete SIP- 
url kennen van degene die Je will berei- 
ken. SIP-Lid's zijn ongeveer op dezeltUe 
manier opgebtjuwd als mailadressen en 
vtjlgen grofweg het schema <n;ime> 
0*<ip-adres>. Als een celefoon bijvcHsr- 
beeld de naam xlitel heeft en 192. 
168.1732 als IP-adres heeft dan is deze 
te bereiken via xlitel @ I92J68.1732. 
Macir zo'n adres is naluurlijk niei prettig 
i>m in ic lypcn; mis.schien nog wel in het 
geval van een softphone op een compu¬ 
ter, maar zeker nicl bij een tckfcMjn met 
cijlbrtoeLsen — en dan iiebben we het 
nog nief over de neveneffecten bij het 
gebruik van DHCP. Bovendien zijn de 


meeste men.sen gewend i)m binnen een 
bedrijf te bellen met dric- of viercijferi’ 
gc codes, en willen ze deze graag blij- 
ven gebruiken. 

De oplossing die dc SIP-were Id hier- 
viH>r hcci'l bcdacht is de 'regi.stntr’. SIP- 
te!cfcH>ns kunnen zich bij een mgisirar 
aanmelden en geven daar hun SIP-url en 
hun 'local ic' dtxir, ztxJal andere telefoons 
deze details niet hoeven te kennen. 
Omdat Asterisk als registrar kan dienen 
voor SlP-ielefixms, htx;ft mijnheer Jans¬ 
sen zijn soflphones alleen nog te vertel- 
len dat ze zich bij Asterisk nxxiLcn tian- 
melden. 

Alle SlP-telefoons die Asterisk als re¬ 
gistrar gebruiken, moeteii op dc Aste¬ 
risk-server in sipronfalimn. Oil be stand 
slauL net als alle andere configiiratiebe- 
standen in /etc/aslerisk en heeft gi'ofwcg 
de voigeiide in bond: 

[generoll 

contexl=defaull 

pori=5060 


Dc opbouw van sipx onf doet denken 
aan eeti Samba-conilguratiebestand, 
want txjk hier kun je een willekeurig 
aantal regels opnemen, die voorafge- 
gaati worden door een seclicnaam lussen 
vierkante haken. ledere regel be vat toe- 
wij/ingen van variabelen. Als je met 
make samples voorbecldci>nriguraties 
hebt aangernaakt, dan heb je al een goed 
gevuld l>estand. 

De sectie I general I is een .samenval- 
ting van de algcmene iastell ingen. Als 
dc afzonderlijke telefoons geen afwij- 
kende instelling in hun eigen see tics 
hebben slaan, dan gcldt dc hiervoor ge- 
geven siandaardwaaJtie. Zo wordt in de 
[general J-sect ie b ij vooi bee Id be paal d 
dal alle apparalcn die tt>l de context 
default behoren de standaard SlP-pOOit 
5t)60 gebruiken. 

Een softphone instellen 

Bij het aanmaken van dc vix>rbeeld- 
contigumties wordl oncler andem uiige- 
commenteirieerde ctxic gcgcncrccrd v(K>r 
een X*Lite softphone. In verkorte en 
aangevulde vorm zoii de slp-conf-eodc 
van de beer Janssen er als vtdgL kunnen 
uitzicn; 

[xlael 1 

type=friend 

usernqme^xhtel 

secrer=l23456 
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hosJ^dynamic 

disojlQW=all 

allow=gsm 

allow=alaw 

De telefoon xlitel mtxrt zich nu met een 
IP-adiies naar keuze (host^iiynnmsc) en 
met tic juiste combi aatie van gebruikcriv- 
naani (xlitel) en waclilwtxJid {123456) 
aanmelden bij de A^iterisk-scrvcn De le- 
Icfbon mag zowel gesprekken op/etten 
als ontvangen (type^frierid), maar hij 
mag daarbij alleen tie ctxJecji a law ea 
g.sm gebruikeiu 

De bijbehtjrcnde sotiphoae-iristellin- 
gen voinien au tjp zich gecn probleem 
ineer Mim helaas is aergcns t5p de 
X-Lite-in terrace bet slcutelbegrtp 'Regi- 
streu' te viiiden. Via 'Menii/Systein Set- 
tings/SIP Proxy/default' kom Jc mci veel 
moeite tcrecht bij 'Domain/Realm' en 
'SIP Proxy', waarin het IP-adres van de 
Asterisk-server gezet moct wordcti. Hier 
moei jc t>ok nog de gebruikersnaam en 
het bijbehorende wachiwtxird invoeren. 

De volgeiide stap is om X-Lite een 
willekeurig te kiezen 'Display Name' toe 
le kennen. Als de nieuwe coiifiguratie 
ingesteld is, dan zf>u tie CLI van Aste¬ 
risk nioeten weergeven dat de teleftxm 
met dc naam 'xlitel' zich met socces 
heeft aangemeltl Dat kun Jc zien door in 
dc CLI het commando sip show peers Ic 
geven; dit rcsullcert in een lijst van alle 
telefoons die zich via het SlP-protocol 
op de actieve Asterisk-server hebben 
aangcmcld, De CLI logt irouwens <x)k 
mislukte aanmcldpogingcn, 

Als de softphone geregisirecrd is, wil 
jc hem natuuriijk ook kunnen bellen. Je 
zoti dit kunnen docn door nog een twee- 
de pc met een softphone uit ic rusten, 
maar aangezien Asterisk zelf aangeslo- 
ten telettxmLncsLdlen kan bellen (zie 
onder), volstaan in dit geval de softpho- 
nc-softwane en een server. 

Met een diaiplan meer 
telefoons definieren 

Om losse telefoons te kiinncn bclleiu 
mtict er een diaiplan geconfigureerd 
zijn. Het bestand dal voor die configura- 
tic zorgt, extensionsxxmf, vt)rmt het hart 
van de Asterisk-configuratie. De variant 
die standaard in /etc/asteriskf als voor- 
beeld opgenomen is, kan echter voor 
verwarring zorgen. Het is daarom ver- 
srandiger deze contlguratie te hernoe- 
men nnm extensions.confJefdult Gn met 
een leeg bestand te beginnen. Fen ge- 
slriptc vcrsic van extensions.conf zou er 
als volgt nit kunnen zien: 
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hard- 

en software 

Aslefisk^distributle 

www.o ill limit, Dig 

Grandsfreani 

www.gicindstTflcim.com 

AG 

*,*.%vw.snoini(jrn 

Cisco 

wwwiiscotom 

X<lire 

www.uenjef 

cfiDn_capl 

www.junghorininer/ 

nstedsk/pogollitnil 

diDn_mlSDN 

m%hmm6Um/ 

inil0)t.php?lQng=en 

Oigrum 

www.digiunicoiti 

ValP-Wiki 

www.voip-info.org 

[general] 

stoHc=yes 



write protect "HO 
igloboli] 

[defatih] 

[local] 

include ->defouk 

De /;^^«£*ra//-scclie zorgt er hier voor 
dat je het diaiplan tip cen in bcdrijf zijn- 
dc Asterisk-server knnt wijzigcn met het 
CLI-commando add extension', je kunt 
het zelfs opslaan in bet configuratiebe- 
stand met save diaiplan. In de sectie 
IftiobaLsJ kun je variabelen voor alge- 
meen gebruik definieren. 'renslone is 
I defaultJ de eerste 'eontext'. l>c/je wordt 
dtKir middel van een include overgenti- 
men door een andere context, [local}. 
Dat is nodig om de volgende viKirbeel- 
den te lalen fnnettoneren. 

De beer Janssen zorgt er nu voor dat 
zijn eerste softphone hetrikbaar is onder 
nummer 100. Dit doet hij dtxir 

[default] 

exterv l00,LD[ol|SIP/x!(tel ] 

in te vocren. Op het eerste geziebt lijkt 
de syntax van dc conUguralie wat onor- 
ihtxlox (exten => name, priority, applica- 
tbnO), maar hij is redelijk snel te door- 
gronden. F^en rcgcl hegini met het key¬ 
word eMen (extension, dtKirktcsnum- 
merj. De pyl die daarna komt had ook 
een isgelijktckcn kunnen zijn, maar is 
min of meer ingeburgerd voor het toe- 
wijzen van variabelen. Een pijl wordt 


^ PC von 

Astensksefver meneer Beerto 



vooral gebniikt vcKir objecten als dtxir- 
kiezen, mailboxen, enzovixiil. Het cijfer 
ICK) is natuuriijk het doorkiesnummer en 
het cijfer 1 staal hier voor de hoogste 
prioriteit. Het daaropvolgende comman¬ 
do Dial voert Asterisk dus als ^rxte uit 
als iemand bet nummer 100 kiesi. Als 
argument heeft Asterisk dan het proto¬ 
col nixJig om de teleftx>n te benaderen 
(bet channel dus - in dit geval SIP) en 
de naam van de gewensLe resource (hier 
xiiud ). 

Asterisk op de hoogte 

Nadat alle verandcringen aan sip.conf 
en extensions .conf doorgcv(x:rd zijn, 
miW 2 t dc configuratie opnieuw in Aste¬ 
risk geladen worden. Dit kan met het 
CLI-commando stop f^rarefally^ waar- 
d(xir Asterisk gestopt en weer opnieuw 
gestart wondt. Hci kan ook sneller, met 
stop now, maar daarmcc woaJt de server 
mcleen gestopt en wordt er niet gewacbt 
totdiit de lopende gespmkken beeindigd 
zijn. Tenslotfe kan Asterisk tijdens de 
runtime de configuratiebestanden op¬ 
nieuw Ic/en met re toad. Als je alleen 
wijzigingen hebl dtMirgcvtx'ixl aan spe- 
cillcke Ixjstanden, kun je deze met sip 
rei(Hid ol' met extensions rekmi actuali- 
seren. 

Vmiuil de CLI benadert dc beer Jans¬ 
sen zijn stillphone door dial 100 in te 
voeren. Als de softphone overgaat, maai' 
niemand opneemt, dan gaat hcl betge- 
luid net zolang door totdat de hard- of 
softWiUne het proccs afbreekt of totdat dc 
beller zelf ophangt. Bij gebrek aan een 
hixim kan de heer Janssen, net als iedcni 
andene Asterisk-bcheerder, een gesprek 
alleen beeindigen via het C.'LI-comman¬ 
do hangup. Intern in Asterisk wordt zo’n 
verbinding lussen het kanaal dat bet ge¬ 
sprek opzet en het kanaal dat bet ge¬ 
sprek onlvaiigt tot stand gebraebt dtxir 
middel van 'PBX Switching', dat een 
van de kemfunctionaliteilcn van Aste¬ 
risk is. Ill dit geval was er overigens 
maar 1 doelkanaal, omdat hei gesprek 
immers vanuit de Asierisk-kem geini- 
ticeid werd. 

Ook dc Asterisk-CLl Rent 'command 
completion' met de lab-Lt)ets, vergelijk- 
baar met die in de meeste shells. Het 
commando help geeft aJle besehikbarc 
commando's weer, Lerwijl help <com- 
mamio> een specifick commando toe- 
liebt. Damnaast zijn de commandtj's 

Voor interne tests volstaan een pc met 

Asterisk en enkele softphones 

(afbeelding 2). 
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Cttdecs zorgen ervoor dat tie analogc ge- 
spreksgegevens omgezet worden in digi- 
en c>mgekeerd. De belangrijkste /.jjii 
G.71I, G.726, G.729. GSM, iLBC en 
Spcex. 

G.711 bestaat in de van ante n a-Iaw cn 
law, die alleen in tic wLjze van kwantise- 
ren van elkaar vcrschiUen. Beide variaii“ 
Icn hebben netto 64 kbps nodig; a-law 
wordt gcbruikt op hei ISDN-nei. 

GJ26 wordt in verschillcnde varianten 
gebruiki, die tussen dc 16 en 40 kbps 
nodig hebben. 

G.729 is met H kbps een zeer sobere va¬ 
riant; deze is eebler niel gratis. 

GSM levert met 13 kbps cen spraakkwali- 
teii die bekend is van dc mobiele teletbnie 
cn mag vrij gelmplemenieerd worden. 
iLBC is een open-source codec* die af- 
hankelijk van de pakketgrootte 13,33 of 
15,2 kbps nodig heeft. 

Speex heeft lusscn de 2 en 44 kbps nodig 
cn is cveneens een open source codec. 


kiesi bij iedere nieuwc verbinding dyna- 
miscb een p{^on. Hierdoor wordt het he- 
laas lastigcr om door 11 re walls been te 
breken. 

RTCP is het oontrolcprotocol voor RTF. 

S2M* ook wel primary multiplexer 
(PMX)-aansluiting, Primary Rate Inter¬ 
face (PRl) of El-lijn genocmd, is een tele- 
commimicaiie-lerm voor een LSDN-aan- 
sluiting met 30 op het telefoonnei aange- 
sloten telefnonlijnen (B-kanalen) en I sig- 
naaJkanaai (D-kanaalX txjk PRJ. 

iSi): een ISDN-aansluiting met twee op het 
telcfoonnct aangesloten teleftKinlijncn (B- 
kanalen) van ieiier 64 Kbit en cen D-ka- 
naal met 16 Kbit. Hcei soms ook BRt 
(Basic Rale Interface)* 

SCCP: (Skinny Client Control Protocol) 
is een Cisco-proiocol voor dc comniuni- 
caiie lussen IP-tclcfoons en Cal I Manager. 
Asterisk t>ndej‘steuiil bei protocol groten- 
deels. Omdat het prottKrol gebascerd is op 
TCP, biedl Call Manager beveiliging via 
TLS (SCCPVTLS), 

SIP (Session hiiliaiion Pnaocol) komt uit 
de koker van dc Internet Engineering Task 
Force (lETP) cn is sierk verwani met proto- 
colicn als HTTl^ cn SMIP. Het gebruikt 
TCP of UDP op fmm 5060. SIP zorgt zclf 
aJleen voor de tipbouw* dc beeindiging of 
de wij/.iging van scssics, de gegevensover- 
dracht wordt geregeld via RTP. Voor de 
omgang met multijiiedia-sessions bascert 
SIP zich op hci SDP-proiocol, 

SIPS: (SIP Secure* SIP over SSL/TCP) ge- 
bruikt een authenticaticnindel zoals de ge- 
bruikelijke TLS-verbindingen met cenifica- 
ten die door een Trusted Authority uitgege- 
ven zijrn VtJoral nuilig in combinaiie met 
SRTP. Om het protocol te gebmiken* is een 
URI nodig die begint met ’sips://'. 

SDP: (Session Description Protocol) zorgt 
dal de inediavcrbindingen opgezet wor¬ 
den, bijvoijrbeeld de audii)- en video-ver- 
bindingen, de ondersteunde codecs cn de 
setup van de RTP-verbinding. SDP wordt 
normaai gespaiken in SIP gefntegreerd. 

SRTCP: (Secure Real-Time Transport 
Control Protocol) is een ondcrdcel van 
SRTP en maakt gebniik van dezelfde en- 
crypliccontext. Het is verplichi bij het ge- 
bruik van SRTP, waardoor het meestal 
niet apart vernoemd wordt. 

SRTP: (Secure RTP) maakt standaard ge¬ 
bniik van AES met 12K bit in de counter 
mode. In legensiclling lot bet op TCP ge- 
baseerde TLS kan SRTP omgaan met 
pakkelverlies cn gcbruikt het maar een ge- 
ringc overhead. Het verslemelt alleen het 
spraakverkcer* niet de RTP-headcr. 


11*323 is het oudcrc protocol voor 
de ovcrdracht van mnkimediagegevens 
in een LAN en is gedetlniccrd door de 
ITL) (Interriaiional Telecom muni cations 
Union)^ 11.323 beslaat uit meerdere proto- 
collen die allemaal een liepaalde opdrachl 
vervullen en die via TCP of UDP overge- 
dragen worden. 

H.235 is dc vciligheid.ssiandaafid voor sys- 
icmen die op H323 gebaseerd zijn. Deze 
standaard omvai verechillende vcrslcute- 
lings- eji auihenucaticmethoden. Aan de 
ondcrstcuning voor MIKHY/SRTP worU 
de laaistc hand gelegd. 

I AX, IAX2 (In ter-Asterisk Exchange Pro¬ 
tocol) wordt gebmikt om Asterisk-syste- 
inen in een netwerk op elkaar aan te slui- 
ten, Het pi'otocoi kan meerdere spmakka- 
nalen bundelen en maakt uitsluitend ge- 
bruik van de LIDP-poori 4569, IAX2 
maakt geen ondcrscheid tussen signaling 
en ovcrdracht van spraakdata, maar maakt 
gebniik van twee verschillende pakketfor- 
maten. 

Jitter: in hcl traditionele telefoonnei zijn 
vertragingen van punt tot punt constant. 
In IF-nelten is dat echter niet altijd zo. 
Het verschil in aankomsttijd tussen op- 
eenvolgcnde verstuurde pakketjes heel jit¬ 
ter. Om hei le compen.seren gebruiken 
ontwikkelaars doorgaans FIFO-queues als 
buffer. 

MIKEY: (Multimedia Irnemet KEYing) 
is een protocol om sleulels tc gencreren 
(zoals IKE da* doet voor IPSec), maar aL 
— leen voor muhimedialc diensten met lage 
latency times zoals SRTP. 

RTP (Real-Time Protocol) wordt gebniikt 
om liel spraakvcrkcer in VojP-netwerken 
le mgclcn. Het maakt gebniik van LIDP en 


(appiiv€itions) die in het besmnd exten- 
siomx:onf gebniikt worden (bijvoor- 
bceld DialO) in de CLl gedoeumen- 
teend* Met show applicatiom worden de 
beschikbare commando’s getoond en 
met applicYiiion <commando- 

mam> wordt gedetaillecrdere informa- 
tie weergegeven over een bepaald com- 
mando, 

Zoals gezegd* gccfl het cijfer I in de 
defiiiilie van IcleftKmaansiuiting 100 een 
prioriLdt aan. Dit heeft uiteraard alleen 
nut als er ook andere priorilciten kunnen 
zijn. Ill hei volgcnde voorbeeld wordt 
het opzetien van telefoongesprek beein- 
digd als er na 20 secunden nog niemand 
opgenomen heeft. Nadicn klinkt er een 
bezelltKin. Het is niet de meest klant- 
vriendelijke benadering* maar ter dc- 
monstmiie voldoel het: 

[defouir] 

txten 100,l,Diol(SIf/xJae 1,20] 
exten => 100,2, Busy 

Met variabelen kiin je dc waurde van de 
maxi male rinkelduur op meerdere toe- 
stellen tegelijk inslcllen: 

(globe Is I 

RINGTIME=20 

[defauJi] 

exten => 100, l,DmllSfP/xliteL$l RINGTIME)) 
exfen => 1 00,2,Busy 

Mijnhccr Janssen kan dii voorbeeld naar 
belie ven uitbneiden. Dit kan hij meteen 
doen dtxir op de pc van zijn coJlega’s 
cveneens X-Uiie te installeren en zijn 
conflguratiebesiand aLs volgl uit te brei- 
den: 

[defoulf] 

exien => i01,l,Did(lSIP/xlire2,${RINGTIME}| 
Bxten => 101,2,Busy 

extan => ]02J,Drol(SIP/xlrle34{RlNGTIME}| 
exten -> 102,2,Busy 

exten => 103,1,DiQl(SIP/xlite4,$ !RINGT[ME1| 
exteu => 103,2,Busy 

Hier wordt dtiidelijk dat dc/jc configura- 
tieslijl niet getuigt van veel eleganiie, en 
dal alleen cut-and-paste-fans hier en- 
thotisiast over zullen /ijn. Hoc mijnheer 
Janssen dil probleem oplost* hoe hij be- 
halve softphones ook haidwaretelefoons 
kan gebniiken, hoe hij andere funciies 
integreert (bijvtHirheeid voicemail) en 
htx: hij zijn systeem bij wijze van test op 
het ISDN-net a^insluiu wordt in het vol- 
gende deel (in /X 3) uit de doeken ge- 
daan. 

TI-ltLO R 06 LER 
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Webservers 


Nieuwe features in Apache 2.2 

Veerkracht 



Sascha Kersken 

Versie 2.2 van Apache, die 
eind 2005 verscheen, heeft 
een aantal interessante 
nieuwe functies. Zo zijn er 
nieuwe autorisatiemogelijk- 
heden, een nieuwe DBMS- 
interface en een nieuwe 
filtermodule. 

I n decembcr 2005 heeft de Apache 
Software Foundation versie 2.2 van’s 
werelds meest gebruiktc Webserver 
gelanccenJ. Volgens Netcraft bedi\x;g 
het aandeel van Apache op piiblieke 
webservers in febmari 2(K)6 bijna zeven- 
tig present. De belangrijkste wy/iging 
in de nieuwe Apache zit hem in de aan- 
ptissing van de authenticaliemodules* De 
logica voor het aanmeldvenster wordl 
nu gescHcidcn van de locatie waar user- 
en groupdata wordl opgeslagen. Het 
nieuwe nuui_imth_bmic en hel gewij- 
z.igde mfHi_imth_digest verwerken de 
van de browser afkomstige authentica- 
tiegegevens. Met zogenaamde provider- 
modules iniegreer je vervolgens de ge- 
gevensbronnen die verantwoordelijk 
zijn voorde aanmeldcontrolc. VcKrrbeel- 
den zijn m^d_€iuthn^le {htpasswd- 
tekstbestiindcn), m(Hi_MUthn_dbm en 
moiljLmthnz^ klap. Vtxir pnividers nioet 
je het commando AuthBasiePravuitT of 
AuthDigestProvider geven. Ete waarden 
konien overeen met het iaalste deel van 
de naain van de r}UKi_€iuthn^- module — 
file of dbm. 

listing 11 Gebruikersgegevnfts 
ogzoeken 

aMtluiPmidtrUm filt fUf1> 

AtitiQserf Ht { iti { t&c/.bte iin 1 

AdthU^erti li /(i&r/loal/ipichd/ilie/.lkstfj? 

<Loeati9(i 
AuOT/pt Gisit 
AdttiiiitPrevidtr fiUl 
AuIIIim %iiite tm\%^ 
leqiiird 


Toegang via 
mod_auffiz*"modules 

De toegaiigscontrole gebeurl met de 
mcxlules mod_authz'^. Aan de hand van 
onder meer de Require of SiUtsfy directi¬ 
ves wordt geeontroleerd of de combina- 
tie geautoriseerdc gebruikcr/ehctiL-hosl 
gebruik mag maken van de gewenste 
bronnen, Gebruik daarbij miKl_aulhz_ 
user voor het authenticeren van gebrui- 
kers cn mod_au(hz_groupfde voor groc- 
pen. Je kunt ook mod_authz_hosi (voor- 
heen mod^access) gebruiken vtx>r het 
ttK:staan of blokkeren van bepaaldc 
hosts. 

Ook nieuw is de module m(fd_auihrt 
_alias^ waamiee je complexe provider- 
modeilen uit bcstaatide providers kunt 
aanmaken. In listing I staal ceii Auihrt- 
Pr(mderAlias-dk&ctivc die zoekt naar 
geldige gebruikersgegevens in twee ver- 
sch i 1 lende h fprj.v.v tvtf-bcslanden. 

De nieuwe module mod_dhd is een 
ge integrecrdc SQL-d atabase- i nterface 
met 'connection p<H)ling^ Dit is met 
name handig voor authendcaiic, logging 
of een CMS. Helaas worden momentccl 
alleen drivers voor FostgreSQL en SQ- 
Lite meegeleverd, Je zult zclf voor een 
driver v(x)r MySQL moeten zorgen in 
verband met dc ineompadbele licentie- 
stnictuur (GPL). De enige met Apache 
mccgcleverde toepassing is tot nt)g toe 
de mcxlule mmi_authnjdbd. Deze h^nilt 
hel wachtwoord van een gebruiker op 
via een SQL-eommando. 

Apache 22 heeft daamaast extra 
proxyfuncties. Naast de reeds bcschik- 
bare providers voor HTTP, HTFPS en 
FTP zijn cr nu twee additionele mcxlu- 
les. mod_^roxy_ajp verwerkt het JServ- 
protocol voor de verbinding met '1 bmcat 
cn vcrvangl de oudere, moeilijkcr Ic 
configureren modJk2. Bn voor het eerst 
bestaat nu de mogelijkheid tot load ba¬ 
lancing zonder tussenkomst van soft¬ 
ware van derden, Hlervoor gebinik je de 
module rntn!j>roxyJxilancer. 


Mel SIGWTNCH zorg je vixir een 
belle' beeiiidiging van Apache 22. 
Actieve clienl-verbindingen worden 
voor het uitschakclen netjcsonikoppcld, 
Je hebt ook de optie om met GracefulS- 
hutdownTimeout een maximale wachi- 
tijd in te stellen {apachecd grucefid- 
smp). 

De onlwikkelaiirs hebben de Multi¬ 
processing Mtxlulc (MPM), die in ver¬ 
sie 2.0 werd gemtroduceerd, uilgebrcid 
met dc Event-MPM. Een MPM imple- 
menteert diverse prixrcs- of tlueadgeba- 
scerde runtimes. De Event-MPM is ge- 
baseerd op de statidaard-thread worker^ 
maar gebruikt een alzonderlijke stuur- 
thread, die de gegevens van keepalive- 
verbindingen tussentijds opslaat. Hier- 
door hoeft een workcr-thiead niet tever- 
geefs te wachten op eventuelc verzoe- 
ken overdezelfde verbinding. 

In te stellen filters 

Het nieuwe mod^lter zorgt voor 
een vrije instelbaarheid van dc fillcr- 
keten cn Filter Provider registreert 
een provider die de toepassing van 
een filter kan latcn afhangen van 
headers of omgcvingsvariabelen. Dc 
volgorde waarin dit gebeurt be pan 1 je 
met FUterChain. In listing 2 kun je 
zien hoe plaatjes worden verklcind cn 
hoe hel aantal kleuren van een GIF 
wordl verminderd (dc Tillers zijn cch- 
Icr fictief). 

Filter Protocol zorgt voor de wijzi- 
ging van HTTP-headers door filters; 
"change=yes" zorgt voor een wijzi- 
ging van ContenFLength. De toevoe- 
ging resp aan FiiterProvider contro- 
Icert een response header; Content- 
Type is daarbij de standaard keuze. 

Last but not least heeft de Apache- 
foundation de slanduardconfiguratie 
overzichlelijker gemaaki, De belang¬ 
rijkste instcllingcn siaan in hHpd.conf 
en de extra optics zijn ondergebracht 
in de Include-folders die op ibema 
zijn gerangschikl. ^ 

SASCHA KERSKEN 
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REVIEW 


Content management 


CMS met Python Plone 2.1.1 

Veelarmige gebaren 

Maik Ihde, Alexander Pilz 

Plone is een van de vaandeldragers van de open-source 
content management systemen en kan perfect gebruikt 
worden voor bijvoorbeeld webportals. De nieuwe versie 
2.].2 maakt het Plone-beheerders makkelijker om o.a. 
contenttypen te beheren. 




P lane is een van dc camplexere 
CMS’etL Jc kuni hei gcbmiken 
om jc weblog te beheren, maar 
dat zou complete overkiU zijn: wc heb- 
ben het hier over een CMS met een 
hoogwaardig redactiesysteem, inclu- 
sief work How ^ gebmikers- en grtK;pS“ 
beheer, document management, group¬ 
ware en pt^nalfuncties, dat voldoei aan 
diverse overheidsstandaarden vtmr 
webtoegankclijkheid. Het Plane-pro* 
ject is gcslart in 1999 en is gebouwd 
op basis van de webapplicalicservcr 
Zope (versie 2), otirspronkclijk was het 
zelfs puur een interface voor Zopes 
Conienl Management Framework 
(CMF). Inmiddels hecfl Plone meer 
gebndkers en een groterc schare om- 
wikkelaars dan Zope en CMF zelF 
Om de verbreiding Ic vcrbcLeren en 
de omgevitig te professionaliseren, 
hebben dc kemontwikkelaars in april 
2(KH de Plone Foundation opgerichl. 


Deze in Houston gevestigde stichting 
is eigenaar van de reehten op de bron- 
code, de trademarks en dc domeinen. 
Ze komt op voor de belangen van de 
gemeensehap en heeft als opdracht dc 
verdere verbreiding van het ("MS te 
ondersteunen. Computer Associates 
heeft de Foundation bij haar oprichting 
lOO.CKK) dollar ter beschikking gcstcld. 
De grote ontwikkclaarsgemeenschap, 
waarltx: (H>k diverse bedrijven van 
iiaam bchoi en, waarborgl de verdere 
ontwikkeling. 

Zope en systeemeisen 

Zowel Plone als Zope zijn gesebre- 
ven in Python, al zijn enkele tijdkriti- 
sche routines in C geimplementeerd. 
Zope gebruikt voor het opslaari van ge- 
gevens een eigen objeclgctirienteerde 
Iransactie-capabele database, genaamd 
ZODB. Je hcbl dus geen extm SQL-da- 
labase notJig. Toch kan Zope wcl met 
alle gajigbare databases overweg, zoals 
MySQL, PostgreSQL, Oracle, MS-SQL 
of PI re bird. 

Plone kan als ‘Zope-product" terug- 
vallen op deze en nog allerlei andere 
Zope-prcxlucten en -funclies, zoals 
zoekindexen en het reebtensysteem. 
Daamaast pmniecrt Plone dankzij Zope 
Enterprise Objects (ZEO) van de schaaF 
baarbeid van Zope. Met ZEO kun Je de 
daUibase en de aizonderiijke instanties 
van de applicatieserver over meerdeie 
CPU’s of servers verdelciu Lt)adbalan- 
cers als Pound cn caches als Squid hel- 
pen hier mik hij, Daardoor is Plane in 
samenhang met de bovengenoemde 
ZEO op grond van zijn schaalba^irheid in 
combinatic met cffectieve caching, heel 
geschikt voor dmk bezochte pagina’s. 


Vanwege de toegepaste applicatieserver 
Zope stelt Plojie relutief hoge eisen aan 
de hardware. Pas ap mixleme systemen 
met tenminste 1 GB RAM presteert het 
systeem nedelijk goed. Hocwel de com¬ 
binatic Zope cn Plone onder alle beken- 
de bcsiuringssystemen werkt, is l^el vfKtr 
veel webhosters een vreemde cend in de 
bijt. Je nKXJi daarvcK>r dan ook op zoek 
naar een webhosttngbedrijf dat Zopc-in- 
stanties inclusief Plone cxploiteert. Een 
altematief is de huur van cen voordellge 
Linux-server met roottoegang. 

Voor high-performance- cn high 
availability (HPHA) eisen kan de 
ZODB via de Zope Replication Servi¬ 
ces, een tegen betaling verkrijgbare add¬ 
on van Zope Ci>rporaiion, redundant 
worden uitgebreid. AI met al vormt de 
2^>pc-omgeving met zijn vcle compo- 
nenten een belangrijk vtK>Rleel ten 
opzichte van CMS-syslemen die niet op 
een applicatieserver zijn gebaseend. 

Inslallatie 

Vanuit de bronctxle gaat de installatie 
met dc gcbruikelijke hink-stap-sprong 
A-onfigure Si& make SlSl make install. 
Zt>pe zoekt de juistc Python-interpreter 
en iustallccrt standaard in /opt/Zope 2.8/. 
Dc cigenlijke 7x)pe-in stances wt)rden 
aangemaakt door het script mkzope- 
instance.py, dat zich in de map bin 
onder de installatiedirectofy bevindt. Nu 
kim je het iar-bestand met Plone in de 
productdirectory van de Zope-insiance 
uitpakken. De bamcode bevat een direc¬ 
tory met afzonderlijkc prtxluctmappen, 
die je onder /Insmrwedirectory/Pro- 
ducts/ kunt archiveren. 

Na de installatie is bet systeem klaar 
voor gebmik en kan dc bcheerder cen- 


^-TRACT 

• Plone is een in Python geschre- 
ven content management 
systeem, daf geboseerd is op 
de opplicdtleserver Zope. 

• Vonaf versie 2.1 beschiM Plone 
over zogenoemde AT-contentty- 
pen waarbij het om een 
nteuwe jmpIemenfotEe van 
bestaande contenttypen gaal. 

• Meertaligheid, workflowinte- 
— gfolie alsook syndtcalion-en— 

het configureerbaro gebruikers- 
beheer behoren tot de belong- 
rijksle eigenschoppen van 
Plone. 
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trale iniiTellingcn vtxirdc site gaan confi- 
gurcren. Ook beheert hij htcr add¬ 
ons, gcbmikers en groepen. Bovendien 
bevindt zich bier een direcie link naar de 
Aipc Management Interface (ZMI). 

De gcbmikers interface van Plone 2,x 
was a I intuit id', maar be vat nii ook een 
zoekfunctie die gebniikmaakt van Ajax 
(zie pagina 18)- Vanaf versie 2 A is 
bovendien dc WYSIWYG-fonneditor 
Kupu, een verbeterdc kkH)n van 
H'rMLArea, in Plone geintegreerd (zie 
afbeelding 2), Daamaast is Plone sinds 
versie 2.0 al meertalig uitgevoerd: mo- 
menteeJ ondersteimt het 48 talen. Daar- 
toe behopen nu ook talen uit de Arabi- 
sche wereld, die een nolatie van rechts 
naar links hebben, Meertaligc inhuud 
vereisl hcl add-on paxiuct LinguaPlone. 

Een van de crileria waar we een CMS 
verder op beoordelen is dc scheiding 
lusscn lay-out* functies en content. Dcxir 
het algemenc gcbruik van CSS in Plone 
is het wijzigen van vormgeving in page- 
templates erg eenvotidig. Daamaast 
is de interface in een heleboel afzonder- 
lijke bouwstenen opgcdcdd* zodat 
vrijwel elk onderdeel afzonderlijk kan 
worden aangcpasl. Dit gebeuit zowel 
met configtiraticbcsianden (logo, letter- 
type* kleuren) ais in templates, zonder 


dc ncxibllilcil van de structnur te verlie- 
zen. Dat kan dankzij dc tool Skin, die de 
afzonderiijke elementen van de interface 
in versehillende directory’s beheert. 
Deze worden bij de opbouw van een 
pagina op een bepaalde volgorde dt>or- 
ztx:ht, Jc kunt op die manier elementen 
in een hogcr gerangsehikte directory 
overschrijven zonder de basisinstaliatie 
tc hoeven wijzigen. 

Archetype Content Types 

De meegelevcrde contenttypen zoals 
Pagina, Bestand, Afbeelding, Nieuwsbe- 
richl ofGcbeurtenis (Plone is ook keurig 
in het Nederlands vcrtaald) zijn in veel 
gevallen voldoende, Maar tK)k gcavan- 
ecerdere contexttypen zijn mogelijk in 
Plone met de zogcnaamde archetypen, 
Dit zijn stukjes Python waar jc bijvoor- 
becid speciale tekstvelden mee kunt 
declareren. Jc kunt archetypen zelf 
schrijven, maar je kunt ze ook met 
UML-diagrammen beschrijven en zc 
vervolgens met ArchGenXML tot 
Archetype-objecten transromieren. Dit 
framework definieert contentobjcctcn 
via zogcnaamde schemata, die uit 
versehillende bouwstenen (widgets) 
samengesteld ktinnen zijn. Zo kun je k 
la minute nieuwe contentobjecten ver- 
vaardigen. 

Een belangrijke vemieuwing in ver¬ 
sie 2,1 zijn daarom de zogenoemdc 
Archetype Content Types (ATCT). Het 
gaat hier om een nieuwe implementatie 
van dc bestaande contenttypen uit het 
CMF op basis van hei archetype-fra¬ 
mework, Mel ATCT kun Jc mal^elijker 
contenttypen uitbreiden en nieuwe 
maken. Oude typen worden door de tool 
aichmif^mtion van PUxie 2.1 naar de 
nieuwe typen gemigreerd. Deze relatief 
omslachlige migratie is het moeilijkste 
deel bij de update van een aanwezige 
2.0 ,x Plone-pagina. 

VtHir de massa-import van content 
kan WebDAV of FTP gebruikl worden, 
Dankzij WebDAV kun je door pagina's 


Online-bronnen 


Homepage van Plane 
Beschikbare Plone’producteo 
NAeeUollge conleni mei Plone 
Homepage van Zope 
Zope/Plone add ons 
Zope Enterprbe ObjBcis 
Zope Replicolion Servjces 


www.plone-org 
plonie.org/prodycls/ 
p 1 one - org/ p r 0 d uch/ ti ngu op I o ne 
www.zope.org 

v^ww.conlenlmonQgemenrsoflwars.info 

zope.nel.ua/cansg Itlng/ZEO pdf 

WWW zope.com/producJs/zape^repIkotion.servkes.lirml 


navigeren met Whidows Verkenner, wat 
prettig is voor intrar^ettoepassingen en 
documenfmanagement. Daiubij kun je 
besiandcn vanuit Verkenner met het 
meegcleverde Zope-product External- 
Editor rcchfstrecks bewerken. 

Plone ondersteimt syndication (RSS 
LO-feeds), zelfs met hele directories 
tegelijk. Typisch woRien de tile! van een 
object, zijn URL en Dublin-Core-mcta- 
data in dc feed gezet. And ere formaten 
zoals Atom kun jc gcncrercn via uitbiri- 
dingsproducten zoals Plone-alom. Met 
CMFSin is ook voor Plone een RSS- 
reader ills uilbrei dings module verkrijg- 
biiar, 

Objecten in 
directorystrucfuur 

Objecten bevinden /.ich niet in lijsten, 
ztJals bij een CMS met een relationcle 
database gebruikclijk is, maar in een di- 
rectoiystructuur die lijkt op de lokale 
harde schijf. Een object is cehter mcer 
dan cen bcsltind of een directoiy, want 
het kan naast zijn inhoud tnik willekeii- 
rige andere attributen opslaan - dat 
hangt van het objeettype af* Daamaast 
kun je voor elk objcci metadata (volgens 
Dublin Core) versirckkcn. Via conver¬ 
ters indexeeri Plone behalve tekst en 
HTML ook gangbare binaire fomiaten 
zoals MS-Office, PDF of die van Open 
Office. 

De portalcalalogus maakt ledelljk 
snelle zoekactics mogelijk, Wciarbij ook 
op attributen gezocht kan worden en 
waarbij Plone alleen zoekresultalen 
tooni die de gebruiker mag zien. Elk 
object meldt een verandering steeds 
rcchtslreeks aati de catalogus, die deze 
vervolgens opnicuw indexeerf. Ook 
kunnen zoekopdraebten m dc catalogus 
vanaf versie 2,1 onder andere ook map- 

JI-^Beoordelifig 

© krochfige functies en uilbreidfngs* 
modules 

© Qclieve en behulpzame ontwikke- 
laarsgemeenschap 

©goede gebruikersinterface 

© snelle ontwikkeling dankzij 
Python en Archetypen 

0 hoge systeemeisen 

0 migratie/updaten is bij belang¬ 
rijke updates noodzokelijk 
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pagina, zoals cle portlet ”News Items" ai' 
de agenda op ztxikopcJrdchicn baseren. 

Bchalve gewone mappen biedt PU)]ie 
(x>k specialc "smart folders", die in plants 
van inhoud de resuUaien van ecti gedetV 
nicerde ztxjkopdraehr weergeven, Zo 
kyn je in een smart folder bijvcKntx:eld 
alle documenien weergeven die het tref- 
wtxjrd ‘dtKLimcntatie’ bevatten en in de 
laatste zes maanden zijn gemaakt of 
gewijzigd. 

Document-based en 
action-based workflow 

Workflow-ondersteniiing is een van 
de sterkste punlcn van Plone* In de de- 
faull-woritllow van Plone staat het 
object in het middelpunt. Het bcwecgl 
zich in de workHow van toestand naar 
toestand volgens een patroon, zoals bij- 
vtK)rbeeld ook een iX- of krantenarlikel 
geschreven, geiedigecnJ en goedgekeurd 
wordL Afhankelijk daarvan wordt het 
bijgewerkt, met betjekking tot de bevci- 
Hgingsinstellingen of dc publicatietoe- 
stand. 

Jc kunt aan objeettypen een wt)rk- 
flow toewij^o, bestaandc pnx:essen be- 
werken en men we workflows opstellen. 
Voor het uitbreiden van een bestaandc 
workflow met verdere tocstanden is 
zelfs geen programmeerkennis nodig. 
Een uitbreidingsmodule met de naam 
CMFOpenflow is daarentegen bedoeld 


maar de actie, een nit te vticten stap in 
het proces. Hierbij knn je bijvoorbeeld 
denken aan een helpdesk. Een bij/ondcr 
kenmerk is hei toewijzen van taken aan 
gebruikers en daaimee het afbeelden 
van pnxjessen waarvan de stmetuur van 
tevoren niet vastJigl. Ook htcr vereist het 
niodellcren van een workflow geen pro¬ 
grammeerkennis. 

Naast het standaard workllowmecha- 
nisme (DC Work How) en het bovenge- 
ntximdc CMFOpenflow is er nu ook 
AlphaFlow, dat DCWorkllow kan ver- 
vangen* Anders dan EX^Workflow houdt 
AlphaFlow Tokening met parallelle 
bcdrijfsprocesseiu biedt het ocn XML- 
configuratietaal en kan dc beheerder 
lopetide workflows controleren en beYn- 
vloeden. 

Zope beschikt aJ over cen krachtig 
beveiligingssyslcem, dat het verstrekken 
van rechten op objecten en methoden 
mogelijk maakt. Om inhtiud, workflow, 
zoekacties en beveiligingsbeleid te 
eontroleren,plaatst Plone daar een flexi- 
hef, configiireerbaar gebruikersbeheer 
bovenop. Reehlen worden automatisch 
aan tindergeschikte objecten doorgcgc- 
ven, maar sinds versie 2d kun je 
ook weer gericht reehten aan zulk^ 
objecten onitrckkcn, Het Zope-frame- 
work bekommert zich om authentieatie 
en autorisatie via mllcn, Plone hreidt dat 
nog nit met metadata van gebruikers, 
met groepen en met workspaces. Met 
modules zoals CMPMember of LDA- 


aati gebruikers willekeurige attributen 
toe tc wijzen of oni het beheer vollcdig 
aan een LDAP-server uil tc besteden. Er 
zijn nog meer uitbreidingen beschikbaar, 
bijvoorfieckl oin je tegenover een i-cla- 
tioneie database of een domeincnntroller 
van Windows te kunnen authenticeren. 


Concluste 


Plone is een veelzijdig ct)ntent 
management systecnivdal geschikt is als 
redactiesysiecm vtxir webpagina’s* als 
wehporta] of als intraneioplossing, Het 
basissysteem is stabiel cn eenvoudig te 
installeren. Indien echter uitbreidings- 
mtxlules worden ingezet, kan het aan- 
passen moeite kosten. Vix^r versie 2,2 
zijn verbeteringen in dc hack-end bij 
gebruikers- en groepsheheer gepland, 
cvenals de invoering van Zope3-views. 

MAIKIHDE 

wefkt bij de gemeenie Munchen en is 
beshjursfid van de Dulislalige Zope User 
Group (DZUG). 


ALEXANDER PIIZ 

is veranlwoordelijk vennool brj Syslab.com 
GmbH in Munchen. ^ 
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HTMUeksteditors 


skEDIT voor Mac OS X 

Geen Carbon maar Cocoa 



D e HTML-editor skEdil is een 
prograimna dat voor de verande- 
nng eens nicL de indruk wekt dat 
hcl snel door de Carlxin-molcn is ge- 
haald om de MacOs 9 look&feei kwijl 
te raken. Ncc, dczc editor van Sean 
Kelly (vandaar skRdit) is cen zeifslan- 
dig onlwikkeld programma dat gebruik 
maakt van de C(K:oa-APl van Mac OS 
X, Het heeft een over/ichtelijke inter¬ 
face van waamit je onder andcrc dc 
tekstedilor, de site editor met lopende 
projecten en een FTP-clicnl bedient. 

Het programma beschikt over slan- 
daardfunclies als syntax-highlighting, 
regelnummenng^ automalisch opslaan 
van ge^vijzigde beslanden, rcgclafbre- 
king, een omvangrijke zoek- en 
vervangfunctie alsmede programmeer- 
bulp* Tijdens het programmcren loont 
dc/c in een pop^upvenster de beschik- 
bare HTML-elcmcnten. Speciale 
tekens kun je omzetten in entities. 

Dc 'undo/redo-functie gaat vcic 
stappen terug, ztxlai je zelfs fouten die 
Je een aantal regels gcleden hebt ge- 
maakl toch nog kunt herstclkn. Hclaas 
ontbreekt een mogelijkheid om code 
netjes op te maken (bcautifler) of om 
code in of uit te klappen (code fol¬ 
ding). Dit laatste wordt waarschijnlijk 
in versie 3.6 opgenomen, samen met 


wat andere verbeteringen zoals cen 
interne previcwfunctie. Nu is enkel een 
externe previewfunede aanwezig, 
waarvoor je uit een groot aantal brow¬ 
sers knnt kiczen. Op Opera na werkte 
deze funciie overigens vlckkeloos. 

Bestiinden kunnen in een of mcerde- 
re vensters worden bekeken en met 
’tidy' worden gccontroiccrd en opge- 
niaakt. E>e syntax-highlighting onder- 
stennl ASP, Coldfusion, CSS, HTML, 
JavaScript, Perl, PHP, Python en 
XML. Voor de meeste formaten bevat 
deze functie voldoende instelmogelij- 
kheden. Behai vc Liilgerekend voor bet 
IITML-formaat; drie klcurcn zijn echt 
Ic weinig oni het onderscheid in code 
aan te kunnen geven. 

Automatische codering 

De code van een site kan op twee 
man ieren worden geautoniatiseerd, 
namelijk via shell scripts of door het 
invoegen van stukjes veelgebmikte 
code (snippets). Enkcle scripts en snip¬ 
pets worden meegelevcrd. Zelfge- 
schreven uitbreid ingen kunnen een- 
voudtg worden geyntegreerd, omdat 
skEdit deze net als anderc uiLbreidin- 
gen als tekstbestanden opslaat in een 
extra map. 


Bernhard Steppan 

Met skEdit 3.5.1 is er 
eindelijk een HTML- 
teksteditor speciaal voor 
Mac 05 X 


Werken rnet de editor gaai project- 
gesiuurd, Hiervoor gcbruikl het 
pnigramma een eenvoudige beheerme- 
thode die de rclatie tussen bestanden 
van een project bijhoudt en in cen 
boomstruciuur weergeeft. Het project- 
beheer onlbccrt nog wel een aantal be- 
langrijke functies. Zo zou het bijvoor- 
beeld handig zijn wanneer bij cen 
naamswijziging van een bestand in de 
project view CH>k de links emaar in de 
aiidere documenten van hcl project 
zouden worden gewijzigd, Het project- 
beheer kan gekoppeld worden aan 
eVS-versiebeheer, terwijl koppeling 
aan Subversion waarschijnlijk vanaf de 
volgende versie mogelijk is. 

De sETP-client cnmplctccrt het 
projeclbeheer, Hiermee zet je bestan¬ 
den via een veiligc verbiriding op een 
server. Ook kun je direct tip cen server 
werken als ware het je lokale machine. 

Conclusie 

Als je cen niet al tc zware, modeme, 
goedkope HTML-editor zoekt zonder 
onnodige menu's ben je bij skEdit 
(www.skti.org) aan het juiste adres. 
De/e webeditor werkt vanaf Mac OS 
X versie 10.2 en kosl Iwintig dollar. Er 
is ook een demoversie die 25 dagen 
werkl. Webontwikkelaars die behoefte 
hebben aan een interne previewfunctie, 
een beautifier en inklapbare code, 
moclen nog even geduld hebben. In de 
volgende versie zullen deze functies 
worden opgenomen. 

BERNHARD 5TEPPAN 

werkt als software-onlwikke!oar en free' 
lance auteur. 
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REVIEW 


VolP-appliance 


Duurtest: AVM FritziBox WLAN 7050 

Allround wapen 

Udo Flohr 


In Duitsland geven sommige providers de AVM 
FritziBox 7050 als extraalje weg bij flotrate ADSL- 
obonnementen, Zulke acties hebben er door voor 
gezorgd dot VoIP binnen enkele maonden dusdanig 
aan populariteit heeft gewonnen, dot veel gebruikers 
niet eens meer weten of ze nou via internet of via het 
vaste net telefoneren. Wat is dit voor een wonder- 
baariijk apparaat en is het ook in zakelijke 
omgevingen bruikbaar? 




D e F^t^!Box 7050 is een 
ADSL-mtxJem, router, 802.1 Ib/g 
Wl,AN“accesspoiiU en een lele- 
fooncentrale (FBX) v(K>r het vaste net 
en VoIP. De FritziBox was een van de 
ecrstc in 7:ijn soon en heeft nog altijd 
vrij weintg cone u men tie. Sicchts een 
paar anderc markipartijen als Zyxel en 
Draytck kunnen op zo’n indrukwckken- 
de lijst van features bogen. Al lcen een 
eigenharidig gecontlgureerd Asterisk- 
sysiecm (zie p, 76) biedt een vergelijk- 
bare functieonivang. 

Extent kuT! jc dc FritziBox 7050 ana- 
[tx)g ordigilaal met het vaste telefoonnct 
verbinden en met het ingebouwde 


ADSL-jiiodcin op het internet aanslui- 
ten. Intcm kunnen drte analoge en maxi- 
maal achl digitale ISDN-apparaten wor- 
den aangcsltitcn. Dat laaLste gaat via de 
interne S(,-bus. Als altematief kan de 
FritziBox via de exteme Sjy-bus aan een 
ISDN-telcfooncenlra!e worden gekop- 
peld, ztxiat je nog meer aansiuitingsmo- 
gelijkheden hebt. Voor iniemeltekfonie 
kan het apparaat gebrui k niaken van 
maximaal lien SIF-providers. Concurie- 
rende prodneten slaan er dikwijis maar 
twee toe. Vaste lciel\K>nnummers uit bet 
ISDN- of analoge net kim je per aanslui- 
ting samen met het IP-adrcs inslcllcn. 
Ook de gebruikelijkc mogelijkheden 


86 


van comfortabele telefooncentrales, 
zoals doorschakelen en drtewegs- 
gesprekken staan tot je besehikking. 

Ook op analoge aansluitingen biedt 
de FritziBox lypische ISDN-feaiurcs als 
terugbellen bij een bezelte lijn en num- 
merweergave. Via zogenoemdc kies- 
regels wordi een I^ast-Cost-routing 
gcrcaliseerd, die je overigens wd met de 
hand moet coiifigurcrcn: je kunt bij- 
voorbccld een regel set maken die nurn- 
mers die met '06' begtnnen via een 
preselectnuminer als Tele2 door het 
vaste net naar het mobiele netwerk leidl. 
Op dezeltde manier kon je gesprekken 
naar numniers binnen het Ncderlandse 
vaste net via de ene VolP-provider laten 
lopen, naar Frankrijk via een andeie en 
natir de VS weer via cen pTeselectnom- 
mer, 

Dit lunctioneert soepeler dan het 
klrnkt, zij het met het klciiic nadcel dat 
je bij gewijzigde tarieven eventueel 
nieuwe v(x>rkeuzenummers moet invoe- 
ren, Maar je kunt dan wcl eenvoudig 
kiezen zondcr cen of ander briefje met 
een over/Jchl van tie goedkoopste aan- 
bieders te hoeven raadplcgen. BcUuib 
nummers als 09()x-numniers kun je via 
kiesrcgels blokkeren. 

Geintegreerde 
NAT-f ire wall 

Vtxir dc toegang tot internet en een 
private LAN ftingeen de FritziBox 
prima als router Alle features ztjn aan- 
wezig, indusief firewall met NAT-on- 
dcrstcuning. Dynamic DNS, etc. Clients 
vinden aansluiling via twee Ethernet- en 
een USB-inierface of via WLAN. 

Ook vixir freelancers,kleine bureaus, 
artsenpraktijken en dergdijkc dekt de 
kleine toverdcxis bjjna het helc spectrum 
van zakelijke eommunicatiebehoeften 
af, in elk geval voor maximaal df tde- 
foonaansiuitingen en heel wat via 
WLAN of kabd aangekoppelde pc's. 
Beroepsmatige gebruikers zullen ook 
andeie uitgekicndc features waarderen, 
zoais dc Call-threiugh-functie, waarbij je 
bijv(xirbeeld mobiel tegen het vtxirddi- 
ge lokale tarief je eigen FritzIBiix kunt 
bellen, otn je vervolgens - na invoer van 
een pincode - via VoIP gratis met Au¬ 
stral ie te laten door verbinden. 

Toch wt>rdt bij dit soort zakelijk ge- 
bmik zichtbaar dat AVM de FritziBox 
in zijn huidige versie duidelijk op thuis- 
gebruik heeft afgestemd. Complexe 
teatures moesten wjjken ten gunstc van 
een eenvoudigerc bediening. Gezien 
v anil it het perspeelief van een power- 
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user heeft de box tlan (x>lt wai kleinc le- 
kojtkomingen. 

Mac- en Lmux-gcbruikers zaf hct in 
eerste instantie opvallcn dat Windows- 
gcbruikcrs bij AVM aitijd in het vwyr- 
deel zijn (hocwcl dal de laatste tijd iets 
is verbeterd). Zo wil dc cd-rom, met 
daarop hct handboek en het mccgclcvcr- 
de Hof twarcpakkct Fritz IDSL, per se 
onder Windows wordcn gcsiart, Zodra 
jc hct pdl-bestand met de gebruiksaan- 
wijzing liebt gevoiiden* schiet je via de 
voortreffclijke wcbintcrfacc lekkerop en 
hocf jc Fritz!DSL net zo min mcer aan 
te rdken als het besturingssysteem van 
Microsoft. 

Zr^nder het prettig leesbaie handbook 
lijkl ailes in het begin nogal lastig, voor- 
al wanneer je net als de auteur eeii 
latentc aversie tegen DHCP hebt. De 
Fritz!Box gebruikt interne IP-adressen 
uit de range 192.168.178.xy24, wat als 
eenvoudige drempcl tegen huis-, tuiii' 
en keuken-liacks even lovenswaardig is 
als dc v<K>r de WLAN-verbinding 
voorgeconfigureerdc WHP1 -sleutel, die 
op een sticker onder op de behuizing is 
afgcdnikt, Omschakeleii naar de veihge- 
re WPA2-versleutcling op basis van 
IJiLE 802.11 i lukt echter zonder pmble- 
mcn. 

Krachtige expertmodus 

De webinterface biedt zowel cen 
instailatie-wizard als een expertmodus. 
Ztxlra je die hebi geacliveeid, kun je bij- 
voorbeeld DHCP deaetiveren of siati- 
schc routingregels instellen. De wat 
geavaneecrdcrc mogclijkheden van de 
gei'niegreerde PB X/te ic fooneen tralc, 
zoals het extern tot stand brengen van 
een verbinding, vereiscEi nadeie bestude- 
ring van het handboek. 

Ook de bekabeling is een peuknsehil. 
Allccn voor de twee priegellge oran^je 
kabelklemmcn van de derdc analoge 
aansluiting, waarin ongeYsoleerdc dra- 
den kunneii worden vastgezel en die 
voor dit soon huisbckabelingcn zijn be- 
doeld, kim Je tnaar beter al vast een vtx)r- 
raadje vloekeii opsparen. Via de webin¬ 
terface kun jc aan de analoge aansluitio- 
gen een naampje geven. Zt> wordt 'Fon 
r dan bijvoorbeeld 'Maaike^draadloos*. 
Hclaas houdi dc firmware bier nier altijd 
rekening race en zie jc bijvoorbeeld in 
de oproeplijst nog steeds 'Fon I' staan. 

Dc aansluitingeii zijn ook zichtbaiu- in 
de interface voor het doorschakclen van 
gesprekken. I Her kim je een telefoon- 
nummer opgcveti, waar de box dan on- 
middellijk of volgens vcrschillende pa¬ 


rameters gesprekken na^ir d(X)rsehakc]L 
Omdat de FritzIBox geen gebruikersbe- 
heer kenl, maar alleen cen centmle 
login, kun je ook per ongeluk de ge¬ 
sprekken van een collega doorschake- 
len, aangezien je bij dc aansluitingen 
geen namen ziei. Fx:n funetie om onder- 
scheid tc maken tussen gebruikers zou 
diis tx^k hicT erg welkom zijn. 

Bij het omleiden van gesprekken 
komt nog een andere merkwaardigheid 
aan hct lie hi. Dc Fritz! Box behandelt 
analoge aansluitingen namclijk anders 
dan ISDN-aansluiiingen: in het laatstc 
geval is geen omleiding via de browser 
mogelijk. Ook dc t(x:wijzing van tele- 
foonnuminers per extra aansluiting 
wcrkl anders voor ISDN-telefoons, 
Deze regelt weike provider voor uit- 
gaande gesprekken gebruikt wordt cn of 
dat via het vaste net of via VoIP gaat. 
Om deze vexir rSDN-lcleftx)ns in te stel- 
len moet Je hij de MSN-instcIlingen zijn 
(Multiple Subscriber Number). Aange- 
zien veel TSDN-apparaten maar drie 
MSN’s toelaten, ben je hier in hct na- 
deel: analoog staat de Fiitz!Box telkens 
maximaal lien numrners of providers per 
aansluiting toe. Gelukkig bieden de 
kicsregels hier de helpende hand: correct 
geconfigureerd icgelen ze de keuze van 
een uitgaande provider zo grondig, dat 
handmatig ingrijpen praktisch overbodig 
wonlt. 

Deze eerste Fritz!Box-vcrsie heeft 
nog wat kinderziektes: aangesloten 
ISDN-tclcfoons geven vaak de verkeer- 
de tijd aan en na een hcrslart (ook door 
een fimiwaie-updatc) of bij onderbroken 
netspanning, blijkl de bellijst gewist Bij 
gebrek aan een expiJitlunclie blijft er 
iiiets anders over dan hem via copy & 
paste rcgelmatig te back-uppen. Een 
font bij de SlF-rcgistraiie verbreekt de 
internetverbinding. In plaaLs van nume- 
rickc foulcodes hadden we graag een be- 
grijpclijke tcLst gezien, op zijn minst bij 
eenvoudige fouten als 'bezef of 'geen 
anlwix^rd'. Bij liet opslaan van de sys- 
lecminstcilingen ontbreekl een venster, 
want de instelliogen belanden zondcr le- 
mgkoppeling in de map Download. Ver- 
dcr kenl de software geen mogelijklieid 
om de internetverbinding te onderbre- 
ken, alleen de stekker emit trekken biedt 
uilkomsi. WeJ kun je het WLAN uiizet- 
ten, 

Een zwaarwegend manco van de 
Fritz!Box 7050 voor zakelijk gebruik 
zou het ontbreken van een 'nachlschake- 
ling' kunneo zijn, dat wil zeggcn,dc mo- 
gclijkheid om in 66n zet om te kunnen 
schakelcn naar cen bundel instelliiigen 
voor de nacht of het weekend (bijvoor¬ 


beeld omleidingen naar een antwoord- 
apparaat, prive- of mobiele numrners). 
Maar vtx)rlopig zou je je ook met een- 
zelfde functic van een aimgekoppcldc te- 
lcf(K>nccntnilc kunnen behelpen. 

Steeds minder kinder- 
ziektes 

Misschicn wordt die nachtschakeling 
nog eens via een firmware-update toege- 
voegd. Net als bij andere pnxJuctcn van 
AVM zijn op de Fritz!Box via zulke up¬ 
dates vergaande ingrepen niogeiijk, die 
je eenvoudig via internet kunt dt)wn- 
loaden. In februari werd via een firmwa- 
re-updatc bijvoorbeeld de mogelijkheid 
toegevoegd om hei gcYntcgrccrde 
ADSL-modem uit te kunnen schakclcn. 
Daard(M)r kan hei apparaat ook kabel- 
aansluitingen of — intcrcssanl voor be- 
drijven - SDSL-verbindingen gebrui- 
ken. 

Door een tlrmwarcwijziging zijn eer- 
der al problemen verholpen met onder 
andere analoge aansluitingen op het 
vaste net, die bij gebruikers tot klachieii 
letdden als flinke mis en verlraagdc op- 
roc ptonen. Ook zijn er problemen weg- 
gewerkt in de WI.AN-sigiiaalsterkte in 
conibinatie met PowerBtxrks van Apple. 

Nog op de wensenlijst voor updates 
staan cen Wireless Distribution System 
(draadloze relaisfunctic voor WLAN 
Access Points), versleutelde VoIP-com- 
municalic (SRTP, zie ook pagina 71), 
configunitie op afsiand vtx>r o.a. het 
dcx^rschakelen van gesprekken, printer- 
servers via tie USB-interface, ADS1.2+ 
en direct draadloos aankoppelen van 
DBCT-telefoons. Mogelijk kunnen ech- 
ter nict al deze punten via een software- 
iipgratie worden gerealiseerd, 

Conclusie 

Hwwcl de lijst van ontbrekendc 
features voor dagelijks gebruik redelijk 
king lijkt, biedt de FritzlBox 7050 veel 
mecr dan waar Je een Jaar geleden alleen 
nog maar van kon dromen. Maar dach- 
ten we dat jaren geleden tK)k nict van 
acoustic coupler modems van 3(X) baud? 
Die kostlen in het begin zelfs nog meer 
dan de ca. 205 cun> (inclusief BTW, 
zondcr providerovereenkomst) die 
AVM voor deze Fritz!Box vraagt. ^ 

UDO FLOHR 

is wateFlscKapsjoy^rtalis^ voor Ouilsa en 

Amerikganse lijdschrillerr. 
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ItiVIEW 


Content Management 



Typo3 4.0: meer dan een CMS 


Starship Enterprise 

Martin Herr, TKomas J. ScKult 

Sinds de Deen Kasper Skarh 0 j in 2000 zijn eerste versie 
van het open source CMS Typo3 vrijgaf, heeft het een 
snelle groei doorgemaakt, De nieuwste versie 4.0 richt 
zich specifiek op bedrijven. 


A Is je een grotcre tlynamische 
website mod onderhouden, 
gebndk je doorgaans een ConLenl 
Management Systeem (CMS). Daarmce 
beheer je de Icksten cn atbeeldingen op 
dc site cn zoi^ je voor een 
zuivere scheiding tussen inhoyd en 
vormgeving. Z*) kunncn online redac- 
tcuren ongestoord aan de teksten van 
webpagina's weiken zonder dal ze de 
techniek eracliter hocven kcnnen. Typo3 
is in PHP gcschreven en is hieidoor ook 

Online Bronnen 

Tyfja3-Homepoge ___ 

Typo 3-fioad map typo3.org/deve|op 

ment/fOQdmdp/ 
Nedeflandss Typo3-Portal www.typo3.nf/ 
Typo3-uit[eg ffeeweti.dnel.n 

/!vpa3 


plaEformonafhankeliJk. Het CMS 
erg veel fundics, is goed uitbreidbaar 
maar ook onoverzichtelijk. HierdtK)r is 
er inmiddels een groic community om 
de software gevormd, die allerlei exten- 
sics heeft gebouwd die ten dele ook in 
lid standaaixlsysteem zijn opgcntimen. 

Typo3 heeft als gratis altematief 
vtH>r commerciele CMS'en een goede 
reputatie verworven. Dal koml met 
name door de vcrbctcrdc mogclijkheden 
vtK)r load balancing in de vomi van 
cache-control-headcrs, een krachtige in- 
dexenende zoekmadiinc cn talrijke klei- 
nc verheteringen in de Typo3-backend. 

Versie 4.0^ die b egin febniari mod 
uitkomen, vormt een hclangrijke stap 
op weg naar een allesomvattend En¬ 
terprise Content Management System 
(ECMS), dat met all een als redactiesys- 
teem vtxir cen website te gebruiken is. 
Als BCMS raoet Typo3 in staat zijn om 


allc elektronische content in bedrijven 
te verzamelen, beheren en presenteten. 

4.0: de weg naar ECMS 

Tot de nieuwe features behoren vier 
mtxiules: documentbeheer voor bcslan- 
den (DAM), taakverdciing en versiebe- 
hecr (notKlzakeliJk voor het worktlow- 
management), templatebchcer met 
Templa Voila en een database-abstrac- 
tielaag om Typo3 aan willekeurige data¬ 
bases te kunnen koppelen. Zo wordt in 
v4.0 niet alleen MySQL ondersteund, 
maar ook Oracle en PostgreSQL. llet 
streven naxir abstractie is dus ingezet, 
maar nog niet alle Typo3-extensies ge- 
bruiken dc DBAL. De DAM-extensie 
(Digital Asset Management) was oor- 
spronkelijk bedoeld als een uitgebreide- 
re versie van de interne Typo3-filelist- 
modulc, maar in de loop der tijd heeft 
deze module zich onlwikkeld U)l een 
veelbclovcnd systeem voor documen- 
ten beheer. DAM kan de file list-module 
in zijn geheel vervangen, al blyfl de mo- 
gelijkheid um de twee modules parallel 
te in.stalleren zonder dat ze elkaar in de 
haren vliegen. DAM biedt verder centra- 
le opslag, vcrsicbeheer van bestanden en 
de mogclijkhcid om metadata weer te 
geven en indexeren. 

Zogeruuimdc services kunnen zulke 
informatic automatisch uit bepaalde 
bestandstyi>en extra here n en via de 
zoekmachinc Icr beschikking stellen, 
biJv(M)rbeeld de atmetingen van een 
JPEG-afbeelding of de inhoud van een 
Word-bestand. Naasl het indexeren van 
metadata bicdl DAM een handige me- 
thodc om inhoud via direclory-achtige 
structuren te selectcren en deze selccties 
(de assets) in een keer te bewerken, 
D(K>r extra ztiekbegrippen op te geven 
kun je selecties bovendien nog verder 
verfijnen. 2^) bond je als Typo3-gebrui- 
ker steeds het overzicht over je bestan¬ 
den en kun je zelfs met gnilc hocveelhe- 
den bestanden nog elTlci^nt werken. 

Voila: de templates 

Naast het kolommengcbaseerdc bc- 
hecr van content kent Typo3 ook nog 
het op XML gebaseerde template- 
systeem Templa Voila. Hcl ontst ond uit 
een project waarin een grole hoe veel- 
heid productgegeveils beliceid moest 
worden. Over het aigemoen biedt het 
een ideale uiigangsptisitie vmr een 
flexibcl beheer van content, zonder dat 
de gebmiker zich aan vaste lay-outs 
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In het tonfrolecentrum van Tempio Voila kun je makkelijk templates moken (afb^ 2)* 


hcieft te bindcn. H'l’ML-templates zijn 
makkelijk bij clkaar tc klikken in de 
backend-module en in zogenaamdc 
/ones in le delen. I>e^e zones kunnen 
vervolgens v(K)r bcpaaldc ct)nlenilypes 
gcconfigureerd wordcn, waarmcc de 
basis wordi gevonnd voor de inhoud 
van een pagina, De ontwikkelaar mag 
ook eigen inhoiidselementcn dellnicren, 
die vanwege de opslag in XML-formaat 
allerlei etgenschappen kunnen hebben, 

Meer dan verborgen of 
zichtbaar 

Het onlbrak in Typo3 ook al jaren 
aan een goed work llow-managetnenl- 
systeein. Contem kende tot nu toe twee 
stalussen: verborgen of zichtbaar. Voor 
a lies daartussen had jc spec ifi eke 
'rypo3-uitbreidingen met eigen oplos- 
singen, maar omdal deze uitbreidingen 
niet modulair waren opgezct zijn ze 
nooit in de Typo3-kem opgenomen. 
Tot vcrsic 4i) dan, want nu is er Native 
Workflow: een cenvoudig workflow- 
systeein om content specitleker te kun¬ 
nen bcheren op basis van gebruikers, 
groepen en nohen. 

Typo3-redacteiiren kunnen content 
net als voorheen in de backend bewer- 
ken. Naast de slandaardmodules zijn er 
nu ook zogenaamde work-spaces. Deze 
maken het mogelijk om met diverse ver- 
sies van een paginastryciuur te weiken 
en deze ook verschillcndc statussen le 
geven. De redactcur ziet de bij zijn rol 
behoicnde veranderingen in een to-den 
lijst en kan ze acccplcren of afwijzen, 
dan wel ze aan een volgende stap in dc 
van tevoren gedefinieerde workflow 
doorgeven. Bovendien kunnen afhanke- 
lijkheden tussen verschillcndc groepen 
in de backend vrij gedefinieerd worden. 

Naasi de Native Workflow werkt 
van de Typo-developers momcntccl aan 
cen nog krachtigere uitbreiding, 
genaamd Enterprise Workflow. In 
September is een v(K>rpRx;l]e daarvan 
gedeinonstreerd op de eerste intematio- 
nale Typt)3-dcveloperconferentie. 

Groeiende community 

Een groot dee) van zijn succes heeft 
'rypo3 aan de developerportal op 
typo3.org te danken. Daar is namelijk 
alle infomiatie over Typo3-pTOjecLcn Ic 
vinden en kan iedereen aan de ontwik- 
keling en dwumeniatic van de extensies 
meewerken. Het hart van Typt33*org 
wordi gevormd door de Typo3 Exten¬ 


sion Repository (TER), Deze maakt bet 
mogelijk om eigen extensies aan het pu- 
bliek ter beschikking te stellen, zodat 
ontwikkelaars samcn aan extensies ver- 
der kunnen werken. Het hijzondere van 
deze opiossing is dat de TER naast de 
eigenlijke extensies (dc prt)grammaco- 
de) ook meteen de bijhehorcndc docu- 
menlalie in verschillende versies be^ 
been. Dc TER vomide in het verleden 
echter ook de bottleneck van Typo3.org, 
Vanwege de performance is de site 
vanardc gn)nd opnieuw opgebouwd. 

Van het oorspronkelijke systeem zal 
weinig overblijven. TER 2,0 is bijna 
klaar met dpkg van Debian als grote 
voorbeeld, Het is de bedocling om de 
centiale repositoiy te ontlasten door files 
te spiegeien, 

De nieuwe TER maakl het de Typo3- 
gebruiker bovendien mogelijk om met 
SOAF-XML-lechniek priv^-repositories 
Ee bouwen en verschillcndc Typo3-in- 
stallaties centraal vanuit een eigen ex¬ 
tension-server van updates te voorz.ien, 

Documentatie in 
OpenOffice en PDF 

leder open-sourceproject is zo goed 
als dc documentatie. Het development- 
platform Typo3.org biedt dan ook 
talloze documenten aan in Open- 
Office- en PDF-formaat, Naast de be- 
langrijkste dtx^umenten cn uitleg over 
de interne Typo3-scripttaal Typoscripl 
vind jc over vrij wel iedere extensie 
wel een document (vaak onvolledig). 
De nieuwe Typo3 Documentation Re¬ 
pository dient om documentatie op 
Typo3.org te bcheren en actueel te 
houden. Er zijn al initiatieven die pro- 
beren om uit Typo3-content OpenOffi- 
ce-dtK'umcnlen le genereren, om die 


documenten dan vervolgens weer als 
inhoudsclcmcnten in Typo3 te impor- 
leren. Een opiossing om uil documen¬ 
ten op de server PDF’s te genereren 
ontbreekt echter nog. Een paar docu¬ 
menten slaan daarom all een als Open- 
Office-bestand ter beschikking. 

Conclusie 

Typt)3 winl met versie 4.0 vtxiral aan 
belang voor commercicic locpassingeii. 
Aan het basissysteem zijn belangrijkc 
funclies ijn toegevoegd, De hoge kwali- 
teit van he! systeem moot daarbij ge- 
waiirborgd blijven. Een blik op dc road¬ 
map hiat zien (zie "Online-bronnen^') dat 
het optimal iscren van de bestaande func- 
ties de meeste aandacht ziil krijgen. 

MARTIN HERR 

geefl hef Typo3-magozine T3N uil. 

DR, THOMAS j. SCHULT 

is freelonce [oufnalisi en professor voor 

nieuwe media. 

Jj-Seore 

© grote flexibilileil door database- 
abstroctielaag 

© beheer en indexeren grole hoe- 
veelheden dalo mogelijk 

® intultief workflow-monagement 

©scheiden van live- en prodictie- 
server niet orrdersteund 

0 opbouNv vereist grote basiskennJs 
Typo3 
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TFT's van Eizo en NEC met vergrote kleurruimte 

Nieuwe perspectieven voor 
rood, groen en blouw 


Dieter Michel 

Om precies te zijn: bij monitoren met een verbeterde 
kleurweergave. iX loot twee nteuwe TFT-monitoren met een 
uitgebreide kleurruimte zien. 


W ie grafisch ontwcrpcr is of in 
de drukwerkvoorbereidtng 
zit, heeft weinig aan vage 
begrippen als ‘hoge heldt:rheid van 
kleureti’ of het ‘aantal weer te geven 
klcurcn\die in de monitorspecificaties 
worden genoemd. Integcndccl, om 
kleurgetrouw Lc kunncn werken ben je 
alTiankelijk van de vntag of de desbe- 
treffende uitvoerapparalen - moniloren 
^n printers - de kicnrwerking van hel 
cindproduct correct kiinnen weerge- 
ven. Tot nu toe moest je je in hel be- 
reik van groen/eyaan/blauw ook met 
kalibrecrbare monitoren met minder 
levreden stellen. 

Om daar verandering in te brengen, 
hcbben Eizo en NEC twee nieuwe 
TFT's, zogenoemde wide-gamul-mo- 


dellen, met een vergrote kleurruimte 
(gamut) op de mark I gcbracht. De Eizo 
CG220 is al enkele maanden op de 
markt; de NEC Spectra view Reference 
21 was tot nu toe slcchls als voorserie- 
model le bewonderen op beurzen als 
de CeBIT of de Pholokina onder dc 
aanduiding NEC 218UWG LED, 

Om een natuurgetrouwe kleurweer¬ 
gave mogelijk te makeii, zijn er al heel 
iang systemen voor kicurmanagement 
die beslaan uit zowel hardware- als 
soflwarecomponenten. Een kleurmeel- 
apparaat (colorimeter of spectraaltbto- 
meter, rcspccticvelijk -densitometer) 
meet elk betrokken uitvoerapparaat 
(monitor, printer, offscldrukpers) door 
en slaat de wccrgave-etgenschappen 
daarvan op in een zogenoenid kleur- 


proftei of ICC-profiel. De software* 
component van het kleurmanagement 
kan die uitvoerapparalen dan aan de 
hand van dal pndlcl zcxlanig aansturen 
dal de kleurweergave op alle uitvoer- 
apparaten hetzelfde is, mits ze daarloc 
in staat zijn. 

En dal is nu net waar het om draait: 
vanwege de verschillende methoden 
voor het produceren van kleurcn op 
bijvoorbceld monitoren en in kleureo- 
printers, respectievelijk in offsetdruk, 
kunnen afzonderlijke systemen niet 
alle waarneembare kleuren hetzelfde 
weergeven. Er zijn ook kleuren die het 
ene uitvoerapparaat wel kan wcerge- 
ven, maar het andcre - vanwege puur 
technische redenen - niet, 

Een probleem is dat bij olTsctdrnk 
(merig)kleuren kunnen worden ver- 
vaardigd die de computermonitor niet 
beheerst. In dat geval kun je ook met 
de beste kalibratie geen kleurgetrouwe 
weergave op de monitor toveren, die 
overeenkomt met de kleurwcrking van 
het latere drukwerk. Dal geldt vooral 
voor ver/adigde kleuren in het cyaan* 
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• De rwee nieuwe wide'gamut 
mofiiforen von Eizo en NEC 
werken met de kleurruimte 
Adobe-RGB en kunnen doar- 
mee olle kleuren weergeven 
die in hef offseidrukproces ge- 
bruikt worden. 

• De klassieke TL-buls is net als 
de LED-achtergrondverlichting 
in stoat am een vergrote kleyr- 
ruimte te genereren. 

• Door kolibrotie bieden beide 
monitoren een praktisch iden- 
tieke kleur en zeer genuan- 
ceerde grijslropweergove. 


bcrcik {een lurquoise mengkleur uit 
groen en blauw)* die niet allecn op fo- 
to's met een blaiiwe hemel, inaar ook 
in produclen zoals autolakken of in be- 
drijfslogo's kunnen vcKirkomcn. 

De gangbare opiossing is dat de 
kleurruimte net zolang wordt verkleind 
tot alle betmkken wcergavesyslemen 
de daarin aanwezige kleuren kunnen 
wccrgcveti llj. Deze verkleinnig van 
de kleurruimte staal synoniem aan een 
reductie van de kleurveo'.adiging, 
zodal dc toepasbare kleuren minder 
verzadigd zijn dan ze volgens de 
eigenschappen van het te gebruiken 
uilvocrapparaat eigenlijk kunnen zijn. 

Kleur bekennen 

Cen goed voorbeeld hiervan is de 
klcurruimLe sRGB, waarmee de meeste 
computermonitoren, bcamers en kleu- 
renlaserprintei's tegenwoordig werken. 
Onder grafici en mediaproducenten is 
het grootste punt van kritiek dat de 
kleurruimte van sRGB slechts de 
klcinsle gemeenschappelijke deler 
weergeeft en dal er Ic vecl wordt weg- 
gegeven van het beschikbare potentieel 
bij bijvtK)rbeeld offsetdruk. 

Als jc dc klcunmtvang van offset- 
druk veiledig wilt benutten, hijvoor¬ 
beeld voor reproducties van foto’s en 
schiidcrijen in onder andere kunstboe- 
ken» heb Je monitoren nodig die met 
ceil aanzieiilijk g rote re kleurruimte dan 
sRGB kunnen werken. Om zulke 
monitoren ook onder gcdcfinicerde 
om-standigheden in te kunnen zetteu, 
bestaan cr naasl sKGB nog meer kleur- 
ruimtedefinities, Daartoc bchoren de 
kleurruimte Adobe-RGR, die inmid- 


dels d(K)r veel digitale camera's wordt 
ondersleund, maar mik dc ECI-RGB- 
kleurruimte, die is gedefinieerd door 
dc Humpean Color Initiative (ECI, 
www,eci,arg) cn die slcrk ovcrcen- 
konil met Adobe-RGB, 

Beide dcfiniiies kunnen alle kleuren 
ornvatten. Samcn mci cen kleurenkali- 
bratie kunnen zulke wide-gamui-moni- 
Loren een kleurgeirouwe voorbeeld- 
weergave van het Ic verwaditen 
drukresuliaat levcrcn, prccicK zoals die 
in de drukwerkvoorbereiding bij hef 
werken under geeoniroJeerde omstaii- 
digheden is vercist. Daamaast zijn ze 
tK)k gcschikl als proefwecrgavemoni- 
loren vtx)r andere uitvoermedia, zoals 
beaniers en TFT- of plasmadisplays, 
ook wanneer die niet werken met de 
kleurruimLe sRGB. 

Beide kandidaicn beheersen de 
kleurruimte Adobe-RGB. Deze dell- 
nieerl de primaire kleuren of de pri- 
maire valenties rood, groen cn blauw 
op andere kleurlocaties als sRGB. De 
verschuiving van de basiskleuren 
bereiken de beide fabrikanten, Bizo en 
NEC, op verschillende manieren. 

^ Eizo CG220 

In principe werkt de Bizo CG220 
met een variant van de eonvenlionele 
Icd-techniek. Cen TL-buis zorgt voor 
een wiue achtergnindverlichling. Daar- 
uit fliteren dc kleur filters op dc afzon- 
derlijke LC-cellen de basiskleuren 
rtKid, groen en blauw (zie spectraal- 
weergave in afbeelding 2). Dc klcurlo- 
caties van deze drie basiskleuren ont- 
staan uil het einissiespectmm van de 
Tl .'buis en het speeirale iransmissiege- 
drag van de kleurfiIters, Cm dc 



gewenste primaire kleuren te maken, 
moeten de lichtgevende stoffen dus 
zoveci mogelijk lichtinlensiteit in de 
gewenstc goinengtcbereiken afgeven, 
aangezien de filters kleurcorrecties 
allecn mogelijk kunnen maken ten 
koste van dc lichlintensileil. Het spec¬ 
trum van het witte lichi toonl hierdaar- 
om niet alleen de beide spectraallijnen 
bij 546 nm cn 436 nm, maar ook de 
groene en blauwe kwikzilverlijn, die 
bij praktisch alle TL-buizen aanwezig 
is, eveiials een uiLgesproken lijn bij 
611 nm (rood), die je ook bij andere 
Icd-monitoien ziei. 

Bij een resolutie van 1920 X 1200 
beeldpunten komt de Rizo CG220 uil op 
een fonnaat van 16:10. Dat is niet vol- 
doendc om twee pagina's van een tijd- 
schrift naast elkaar wcer Ic geven met 
ruimte voor pictogmmmen langs de rand 
van hcl schenn* maar wel voor de weer¬ 
gave van videoheeiden in het voile 
HDTV-formaat (1920 X 1080 pixels) 
plus de daanmder liggende tijdlijn, die 
je op het compositievlak nt)dig hebt 

De bijbehorend grote hehuizing is 
draai- en zwenkbaar. Aan de achterzij- 
de zitten aansluitingen voor 2 X DVD- 
1, USB en de stroomvoorziening aeh- 
ler klcpjes verborgen, zodat je alle 
kabcis zovcel mogelijk uil bet zicht 
kunt wegwerken. 

Je sieli het apparaat in via een On- 
Serecn-Display en via sensorvelden 
aan de ondemmd van het becldsehcrm. 
Dal is weliswaar leuk, maar niet echt 
mKidzakclijk. In de gekalibreerde 
modus zijn alle bcdicningsclementcn 
behalve de helderheidsinstelling gc- 
blokkccrd, zodat cen gebruiker niet om 
de kali brad c hcen kan als hij de kleur- 
weergave wll wijzigen. 

Voor het kalibreren Icvert Eizo de 



T—n- \ -1-1-1-^-r 


CIE-kleurdiogrammen voor de Eizo CG220 en de NEC Spectraview Reference 21; 
de kleurruimten von beide monitoren zijn bijna identiek aan die van Adobe- 
RGB. Ook de witruimten liggen dicht bij elkaar (afbeelding 1). 
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REVIEW 


Monitoren 


spcciraalfotometer Eye-One Pro van 
Gretag Macbeth mee, eveiials de kali- 
brat teso ft ware Colomavigalor. Deze 
kaiibrecn in een grotendeels geauto- 
matiseerd proces de helderheid, het 
witpunl en de gamma van de monitor 
op basis van dc invoer van de gebnii- 
ker. De kalibratiegegevens worden via 
USB in de monitor opgeslagcn. Ver- 
volgcns wordt hel kleuq>rofiel samen- 
gesteld en in een ICC-profielbestand 
opgeslagen. 

Bovendien acccpteeit de software 
gerichte bemvloeding van de beeld- 
weergave, buiten de gekaiibrccrde 
werking om* Naast handmatige instel- 
1 ingen is het ook mogelijk om een an- 
dere monitor te emuleren aan de hand 
van diens klcurproOcl. 

H NEC Spectraview 
Reference 21 

Voor de Spectraview Reference 21 
hebbcii de onlwikkelaars van NEC een 
heel andere route gekozen: in plants 
van een TL-buis werd de monitor 
getrakteerd op een achtLTgnmdverlich- 
ling met LED’s. LED's hebben het 
voordeel dat ze van huis uit een lichL 
specimiii met een relalief smallc band- 
breedte genereren, zodat de eisen aan 
de filters op de LC-cellen lager mogen 
zijn. Omdai met LED’s dc basiskleu- 
ren in dc achlcrgrondverlichting indi- 
vidueel aangeslunrd knnnen worden, 
kiin je bijvoorbceld de klcurtcmpcra- 
tuur al instcllcn met de achtergrond- 
vcrlichting, dus zonder dat je hiervoor 
een beroep lioeft te doen op de LC-eeL 


Jil-Beoordleliiig 

£izo CG220 

© weergave van notieve HDTV-resolulie 
is mogetijfe 

© relofief voordelig geprijsd 

0 TUbuisvertiebting ts in principe aan 
verouderingseffeclen onderworpen 

KEC Spectroview Reference 21 

© LED’belichting is praklisch vrij von 
verouderingseffeefen. 

© wilpunl Icon al met ochlergroodver- 
lichfing In- en bi[gedeld worden 

0 'native' HDTV-formaat goot slechts 
tot 720 lijnen 




In de spectraalanalyse ontbreekt hel uitgestraalde licht voor de primoire kleu- 
ren rood, groen en blauw< Het verschil in de spectrole samenslelling van beide 
apporaten is duidelijk zichlbaan fiij een gekalibreerd gelijke kleurtemperatuur 
toont het witte licht van de Etio CG220 een lypisth li-buizenspectrum met af- 
zonderlifke, fi|fie specfraallijnen {links), terwiji de LEP-verlichting von de NIC 
2I80WG met relatief smalle bondbreedtes v/erkt voor op zichzelf staande spec¬ 
tra voor de basiskleuren rood, groen en blauw (rechls), De visuele indruk is 
desondonks praktisch hetzelfde [ofbeelding 1/ 2). 


len. Om een gelykmatige achtergrood^ 
verl ichting voor het display te garande’ 
ren, worden zo’n KK) drickleuren- 
LED’s ingczcl, die of in een matrix 
zitten of aan de buitenranden van het 
display gegroepcerd zijn en van daaruit 
via iichtgelcidingsstructurcn de dis- 
playachtergrond verlichicn [2|. Welke 
[iiethode je kiest, hangt af van dc vraag 
of je zecr hoge lichtsterkten nodig 
hebt, zoals voor demonstraticdisplays 
bij daglicht, of dat je vokk>ende hebt 
aan gemiddclde lichtsterkten van 100 
tot 2fX) cd/nr voor computerdisplays. 

De basiskleuren van de lichtdiodcn 
moclcn zo gekozen zijn dat ze zo goed 
mogelijk overeenkomen met de ge- 
wenste priniaire kicuren, want ook hicr 
zorgen kleurct>rrecties voor het nodige 
liclilverlies* De lichtklenr van de dio- 
den is trouwens niet strong mono- 
chroom. Hot spectrum ervan heeft eer- 
der een l:)epaalde bandbreedte (rood: 
20 nm, groen: 37 nm, blauw: 22 nm), 
wat ertoe leidl dat dc kleuren wat min¬ 
der verzadtgd zijn dan bij speciraal 
zuiver licht. 

Aan dc builenkant van de TFT h 
nauwelijks te zien dat deze met een 
nieuwe verlichtiiigstechniek werkt. De 
monitorbehuizing van het 2L3-inch 
specialc model heeft slechts een wat 
grotere diepte dan conventioneic Icd- 
nionitoreii, maar dal hangt samen met 
hcl feil dal LBD-verl ichting pas vanaf 
een zekere afstand een gelijkmatigc 
verl ichting Icvcrt. Dc aansluitingen 
voor 2 :x DVI-D en de stroomvoorzie- 
ning bevinden zich wat naar achleren 
geplaatst aan dc onderkant van het ap- 
paraal. Op basis van zijn resolutie van 


Gegevens en priixen 

Eizo C0220: 22,2'incb in het formoat 
16:10; 

RejokHe 1920 in, 1200 pixels; 2 DVI-Jj USB 
Strootprljs: ca. € 4.000 
WWW.eizo,nl 

NEC Spectraview Reference 21 
(2180WG); 

21,3Hnch In het formaat 4:3; 

Resokrie 1600 X 1200 pixels; 2 X 0714) 
Slraalprijs: co, € 6,1 60 
www.nec'clisploy-soluh'ans.fil 

1600 X 121 M) pixels, beheerst hij "nati¬ 
ve’ HDTV-formaten tot 720 pixels 
(720 lijnen horizonlaaL non-inter¬ 
laced). Zoals hij de meesie monitoren 
gcbruikeiijk is, kan de On-Screen 
Display via een knoppcnvcid aan de 
onderrand van hcl hceld.scherm wor¬ 
den aangestuurd. Bovendien kun je de 
monitor ook bedienen met dc software 
Naviset via dc DDC/CI (Di.splay Data 
Channel Command Interface), 

Voor de kali brat ie leveri NEC dc 
huiseigen soft ware Spectraview mee, 
Daarmee kun je de helderheid, hel 
wiipunt en de gamma van de monitor 
instellen, in de monitor ops 1 aan en 
ook een ICC-kleuq^rofiel aanmaken. 
Spectraview werkt samen met gangba- 
re speclraaH'olometcrs, Een onderdeel 
van de Lestopstelling was een Eye-One 
Pro van Grctag Macbeth, 

De kalibralicsoftwarc moet geacti- 
veerd en op de te gehruiken computer 
geregistreerd worden. Dal gebeurt of 
rechtstreeks via intemcL of via een 
door de software bepaalde hardware- 


92 


iX 2/2006 



















code, die dc gebnuker m een webfor- 
imilier moct invoercn. Dc licentie van 
de kalibratiesoftware is dus nict aan de 
moniLur geboiiden maar aan de compu¬ 
ter op de werkplek. Ook a) is er een 
14“dagen demolicentic, dc gebruiker 
kan under oiigunstige omstandrgheden 
dus tijdelijk zondcr kaltbratiemogelijk- 
heid komen te zitten* 

Geen herkenbare ver- 
schillen 

Bij beide monitoren Icvcrl de kalt- 
bratieprocedure geen problemen op, 
Ook de aansluilcnde visuele toetsing 
met verschillende tcslkaarlen uit de 
Display mate Multimedia Edition 
(www.displaymale,com) brengt geen 
bijzonderheden aan bet lichl, Vooral de 
helderheids- en verziidigingsnivcaus 
wordcn dfx^r beide kandidaten vloei-end 
en traploos geregeld, wal een positieve 
uitwerking heeft op de weergave van 
klcurlrappen, Rederi ts vernioedelijk de 
10-biLs Lwjkup Tabic (LUT), die de 
monitoren gebruiken om de nmzctling 
van RGB-kleurwaarden in de aansturing 
van de Ic-cellen uit te voeren, 

Een vergelijking van de monitur- 


wccrgave van een PDF-afdrukbestand 
met de bijbehorciide offset-referentie- 
print bij gebruik van bet klcuq>rofiel 
voor monitor en drukker, levert net zo 
weinig commcntaar op als de vergelij¬ 
king van beide monitoren onderling. 
Slrikt genomen verbaast ons dal niet, 
want juisl dc kalibratie moet voor een 
gedetlnieerde en rep rod uceer bare 
klcurweergave zorgen. 

Klcunnelingcn Iciden voor beide 
monitoren tot bijna idenlieke kleur- 
ruimles, die bovendien goed overeen- 
stem men met de kleurruimte van 
Adobe-RGB respeetievciijk ECl-RGB* 
De weergave is bij de NEC 2I80WG 
wat sterker kijkhoekafltankelijk dan bij 
de Eizo CG220, VtRiral als Je schuin 
van boven naar het beeltl kijkt, wordi 
een purpcrkleurige zweem zichtbaar, 
die bij een normaic kijkhoek echter 
volledig verdwijm, 

Conclusie 

Beide fabrikanlen hcbbeii met de 
oniwikkeling van een monitor die alle 
offseidrukkleuren kan weergeven, bun 
doe I bereikt. Door vooral de kleurtoon 
van de primaire kleur groen le ver¬ 


se huiven, he b ben ze de kleurruimte en 
daarmce dc omvang van bet aantal 
weergeefbare kleuren dusdanig ver- 
groot dat de kleurruimte van de moni¬ 
tor groter is dan die van offseldruk- 
Bovendien beschikken beide TFT's 
over omvangrijke kleurinstelmogelijk- 
heden (kleurconlroic over 6 assen), als 
aanvuliing op de kalibreermogelijk- 
heden die de meegeleverde software 
biedt. Omdal deze software overweg 
kan met de gebruikelijkc spcclraaifolo- 
meters, gaat de aanschaf van een wide- 
gamut-monitor gclukkig niel rioodza- 
kelijk gepaard met het kopen van 
nieuwe hardware om de kleuren te 
meten. 

DIETER MICHEL 

wepki ols Ireelance DV-joumolisl en is 
hoofdredocteur von hei vokblod Pro- 
sound 

Liferatuur 

[I] www.prosound.de/farbel (Duiis) 

f 2] btt p ://cutal og ,osramos .com/med ia/_en 
/Graphics/00016610^0 ,pdf 





Kenmerken: 

- Intel Celeron-M 600MHz GPU; 

' Zeer compact: 275 K 172 X 50 mm 

- Strakke vormgeving, fanless design 

- Ruimte voor 2.5" harddisk en CF 

- 2x 10/100 LAN, 4X RS232 & 3x USB 

- incl. audio, VGA. IDE/FDD, etc. 


HPS INDUSTRIAL BV 

Tei, 033-2774905 verkoop@hpsindustrial.nl 

www.hpsindustrial.nl 


Fanless mini PC 

Type "NEO\ Complete 
compacts aluminum multimedia 
mini-PC voor Linux of 
Windows® omgeving met Intel 
Celeron-M 600IV1HZ processor. 
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Computercriminaliteit 


Systeemonderzoek met de forensische tool 
EnCase 



Alexander 


Geschonneck 


Kort geleden verscheen 
versie 5 van EnCase 
Forensic, een onder 
forensische experts 
wijdverbreide softwaretool. 
Een van de interessantsfe 
verbeteringen betreft de 
mogelijkheid om onder 
Linux images van 
gegevensdragers te maken. 


Imageproblemen 


E nCase Forensic, waarvati wc de 
nieuwe versie 3.03 hebben ge- 
tcsl, is al'koinstig van de Ameri- 
kaanse fabrikant Guidance Soflwarc. 
Het programma werki onder Win¬ 
dows 2(MK) en XP en maakt het mogc- 
lijk forensische images te creercn. 
Ook kun jc er ktassieke harddisk- 
dumps mee importeren die met hei 
Unix-progranuna dd zijn gemaakl. 
Zodra het image in het zogenaamde 
Case Management is opgenomen, kun 
jc de erop aanwezige bestandssyste- 
men analyseren en groiidig op bepaai- 
de bestandsnamen, bestandsinhoiid cn 
meer doorzoeken. 

De gebruiker kan ztjgcnaamde 'lo¬ 
gical evidence files’ toevoegen, om 
zieb bij het onderz-oek van groie hoc- 
veclheden gegevens op de belangrijke 
zaken tc kunnen concentreren. Dat re- 
duceert het te analyseren gegevensvo- 
lume tot een overzichlelijke omvang, 
zonder dat je daarbij de toegang tot de 
rest van de gegevens verliest. 

Niet op geheugen 
besparen 

Voordat de gebruiker met de eigen- 
lijke software aan de slag kan, moet htj 
de driver van de liccntiedongle instal- 


leren. Deze dongle houdl tijdens het 
werken met EnCase onder Windows 
66n USI3-aansluiting bezel. Ook is het 
zinvol om extra RAM in te slaan: allc 
forensische tools die met forse kopieen 
van gegevensdragers werken hebben 
bij de analyse Uefst zo veel mogelijk 
geheugen nodig. 

Wic al tens met een eerdere versie 
van EnCase heeft gewerkt, zal zich 
nauwelijks verbazen over de lange 
zoekiijden. In legenslelling tot het con- 
currerende product van Access Data 
maaki EnCase gecn zock index, waar- 
mec snef zi>eken op sleutelwoorden 
mogelijk is. Voor het zoeken naar be- 
paalde informaiic, zoals trefwoorden, 
IP- of e-mailadressen, kun je een zoek- 
patnK)n opgeven, dat ook nit reguliere 
expressics kan Wi)rdcn samengesteld. 
Mochlje later nadere informatie wilien 
ztjeken, dan moet het zoekpatroon 
worden aangepasl cn het zoeken op- 
nieuw worden gestart. Doordat het 


proces zoveel tijd kost meet je dus 
goed nadenken over je zoekstrategic. 

Een intuitieve zoekopdracht naar 
wellicht onbekende sporen van een in- 
braak op het systeem is met deze aan- 
pak niei zonder meer mogelijk. Maar 
met de scripttaal EnScript, die bij En- 
Case Forensic is inbegrepen, kun je de 
analyse automaiiseren en aan je eigen 
anderzoeksstijl aanpassen. Zo onder- 
zoekl het mccgelevcrde BnScript-voor- 
bccld 'SweepCase' een forensische 
image op bekende sporen in dc regis¬ 
try, de eventing en de directory met het 
gebiuikersproflel. Op een Unix-filesys- 
teem evalueert SweepCase juist de ge¬ 
gevens in dc syslogs. 

Verbeterde analyse 
van e-mailsporen 

EnCase 5 heeft op het gebied van e- 
mailanalyse duidelijk vooruitgang ^e- 
boekt. Naast verbeterde ondersleuning 
voor de gcgevensronnalcii vaa Out¬ 
look en Outlook Express arialyseert de 
tool nu ook de Personal File CabincLs 
van AOL 6 l/m 9. Sinds de zegetocht 
van wcbmailservices h la Hotmail, 
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Gmail en Yalioo tigt een befaiigrijk 
/.waartcpunt bij bet analysercn van dc 
bijbehorende sporen op verdaclite 
harddisks, iiiiCase aiialyseert daarom 
uitgebreid dc bi'owscrcache, 

Er zija behoorlijk veel typen be- 
standssystemeri te doorzoeken* EjiCase 
ondcrsleunl het Journaling Rlcsystcm 
van IBM, LVMI8 van AIX maar ook 
TiVo-systemen, die in settop^boxen 
worden UJCgcpast. Overigens is het net 
als bij bijna alle andere op Windows 
gebaseerde forensische tools nog 
steeds niet mogelijk om dc gewiste gc- 
gevens van een Ext3-bestandssysteem 
weer te geven . Voor adequate analyses 
is dat wcl absoluut noodzakclijk, waar- 
door de inzet van HnCase voor Bxt3- 
gegevensdragers praktisch is nitgeslo- 
ten. 

Overzicht 

De gebruikersinterface van EnCa- 
se 5 is door de fabrikant uitgebreid 
Dm het Case Management makkelij- 
ker te maken en hei overzicht over de 
te aiialyseren gegevens te behouden. 
Dat laalslc lukl overigens allecn wan- 
ncer Je een groot beeldscherm met 
een hoge resolutie gebruikt, want de 
velc nieuwe labs voor dc in bond van 
e-maib browscrcache en browserhis- 
tory zorgen ervoor dat de vensterin- 
deling er al gauw onoverzichlelijk 
uit/Jet en jc steeds been en weer moet 
scrollen. We moesien er even aaii 
wenneii, maar daarna W'erkle de nicu- 
we interface ook wat violter dan 
voorlieen. 

Al jaren levert de fabrikant bij En- 
Case cen DOS-gebaseerde compo¬ 
nent voor het maken van forensische 
(bitgewijze) kopieen van gegevens- 
dragers. Een ingebonwde hashing- 
functie verifieeit of de aldus gemaak- 
te kopie van de ortginele gegevens- 


Andere geintegreerde 
forensische tools 

Access Data Forensic ToolKit 
www.occessdala.com/ 

Autopsy Forensic Browser [freeware Iront’ 
end voor de open source-software The 
Sleuthkit) 

www.sleuthkit^org/ 

X-Ways Forensics 
www.x-ways.net/ 





Met het nieuwe 
LinEn m versie 5 
kunnen 

ondenoekers nu 
ook onder Linux 
een forensische 
kopie von 
gegevensdragers 
maken 

(afbeelding 1). 


drager afktHnstig is. Dc ondcrzockcr 
moet het verdachte systeem vanaf een 
vertrouwd medium booten, waarna 
met "EnCasc for OCXS" cen forensi- 
sebe kopie gemaakt kan worden. De 
tool kan de image ofwel naar een 
aangcsiotcn gegevensdrager schrijvcn 
of via de nieegeleverde crossover^ 
kabel naar een tweede pc w^egsehrij- 
vcn. Voor het acccptcren van image- 
gegevens moet je EnCase op het 
tweede systeem in de server mod us 
draaien. 

Het maken van forensische images 
kan met de nieuwe versie nu ook 
onder Linux (afbeelding 1), Het door 
(i u i dance e v en e e n s m eege I e verde 
LinEn werkt op vergelijkbare wijze 
als EnCase for DOS. Je kunt het ver- 
dachle systeem vanaf cen vertrouwd 
Linux-medium booten, waarna LinEn 
een forensische kopie van de aange- 
s Id ten gegevensdrager maakt. In de 
Help bij LinEn troffen we een 
domme font van de fabrikant aan. Als 
de binary na kopieren op de Linux- 
partitie wegens ontbrekende be- 
standsrechten niet wil starten, advi- 
seert de fabrikant om gewoon dc op- 
dracht 'chinod 777’ te gebruiken. Rij 
dat advies krijgt elke goede systeem- 
beheerder krornme tenen, omdat En¬ 
Case dan niet allcen door iedereen t)p 
het systeem kan worden uitgevoerd, 
maar ook kan worden gewijzigd. 

EnCase is dc cnige geintegreerde 
forensische tool die gegevens van 
Palm- of Handspriiig-apparaten kan 
lezen. Daarvoor moet wel dc Palm 
Conduit-software op het analysesys- 
teem geYnstalleerd zijn. Nonnaal ge- 
sproken gebruiken ondcrzockcrs af- 
zonderlijke tools voor het analyseren 
vanaf een Palm PDA, Pocket PC, 
Blackberry enz,, zoals PDA Seizure 
van Paraben. Als je alleen Palm 
PDA’s wil analyseren, heb je diis niet 
per sc extra software nodtg. 


Conclusie 

Wic bekend is met dc vorige versie 
van de software zal voor versie 5 snel 
warmlopen* De uitbreid ingen van het 
aantal herkende formalcn en dc verbe- 
terde stabiliteit reehtvaardigen een up¬ 
date. Hetzelfde geldt voor de LinEn- 
tool, die spccifick voor Linux is bc- 
doeld. Maar als je voor de keuze staat 
OJB een tiieuwe Tool aan te sehaffeii, 
bedenk dan goed of de door EnCase- 
werkwijze ook je eigen voorkeur heeft. 
Als je met pakket klaar wil zijn, 
kunnen we EnCase slechts beperkt 
aanraden. Sowieso gebruiken experts 
doorgaans meerdere programma's. Wel 
is EnCase momenteel 6en van de wei- 
nige programma’s die via een scripttaa! 
uitbreidbaar is, en juist dat maakt het 
bij forensische experts |K)piilair. 


AiFXANDER GESCHONNECK 

is leidrnggevend security consultonf bij 
HiSolufions in Berlijn en auleur van een 
boek over computer forensics. 


JI>l»e«oideKng en ptijzen 

Fabrikant: Guidance Software, Pasa¬ 
dena; www.encose.cdrri 

Prlji: € 2.250 (eK.btwl 
Meegeleverd: CD, handboek, Quicks 
storl Guide, USB-dongle, crossover-kabel 

©image rraken ortder Linux me( LinEn 
© uitbretding mogelijk via EnScripf 
@ crossover kobe! voor het maken von 
images wordt rreegeleverd 
©zoeken goat omslachtig 
0 orroverzichteiiilte interface ; 
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PRAKTIJK 


Netwerkbeveiliging 



Toegangs- 
bescherming 

Lukas Grunwald 

De meeste servers 
die aan het internet 
hangen zijn tegen- 
woordig zo goed be- 

veiligd dot er behalve de gebruikelijke poorten voor mail en web hooguit een SSH-poort 
voor remote beheer openstaat. Niet geheel toevallig is dot ook precies de poort waarop 
ongenode gasten het het meest gemunt hebben. 


Brute-Force-aanvallen tegen SSH afweren 


W ie kent lelnel, riogin, rsh en 
ringer nt)g7 In de jnren liich- 
tig en ncgentig was dat de 
servcrsoftware die door hackers het 
mccsl wcrd aangevallen. Maar inmid- 
dels Ls remote inloggen met SSI1 op 
Unix een de facto standaard gewor- 
den. Medc dank/Jj de schciding van 
privileges geldt de OpenSSH-server 
tegenwoordig als behoorlijk veilig, 
Toch is ook hier cnigc zorg op zijn 
plants. Dc laatstc maandcn vcrtoonl 
bijna elke logfile van een publiek toe- 
gankelijke SSIl-server wel sporen 
van bTute-forcc-attacks, ook wel 
dictionary attacks genoemd. Door- 
gaans zijn die afkomslig van script- 
kiddies die probcrcn om geldige 
SSH-logins te vinden met behidp van 
bots die lukrake combinaties van ge- 
bruikcrsnamen en waehlwoorden nil- 
proberen* Waniieer ze dan stomtoe- 


vallig een onveilig wachlwoord vin¬ 
den, kunnen zc gewoon op dc server 
inloggen. 

Wachtwoorden niet al- 
tijd veilig genoeg 

Wanneer een administrator of ge- 
bruiker obscure wachtwoorden ge- 
bruikt, ziillen die niet gauw gcraden 
worden. Maar hoe vaak wordt er niet 
een gebruiker ‘test' met als wachl¬ 
woord ‘test’ aangemaakt? Of erger 
nog, ‘root' met ‘root’? Doorgaans 
doe je zoiets alleen voor testdoelein- 
den, maar niet voor niets horen dit 
soort combinaties tot de cerstc die 
een bot probeert. 

Zulke brute-force-aanvallen kosten 
naast neiwerkeapaciteit ook reken- 
krachf, omdat de seiwer additionele 


Ats {e de systeemlogs me^ 
tods als Logwatch beki[kt, 
zul je regelmatig waar- 
schuwingen over misiukte 
SSH-logms tegenkomen. In 
dit gevol ging het ogen- 
schijnlijk om een woorden- 
boekoonval. 


SSH-daemonproccssen starL Het aan- 
tal bytes netwerkverkeer dat een mis- 
lukte SSH-login kost lijkt niet veel, 
maar er is wel degelijk lets groots aan 
de hand. Om niet teveel op te vallen 
proberen aanvallers him inlog- 
pogingen over een periode van 
maanden te spreiden, vaak vanaf hele 
batterijen samenwerkende machines. 
Van ‘scriplkiddies’ is in dal geval 
geen sprake meer. Een test server met 
cen honeypotsysteem (een systeem 
dal opzettelijk is opengezet om een 
aanval ^’uil Ic lokken") rcgislreerde 
64.000 illegale logins in vier maan¬ 
den tijd (zie listing 1). Het misbrui- 
ken van die resources is voldocnde 
om cr tegen op te Iredcn. Typerend is 
verder dat uit de inspectie van som- 
mige gekraaktc machines blijkl dat 
seconden nadat een geldig wachl¬ 
woord is gevonden, vanaf een andere 
machine aan de andere kanl van de 
aardhol werd ingelogd. De gekraakie 
machine kan vervolgens weer worden 
gebraiki voor inbraakpogingen bij 
anderen. 

Een SSIirinbraak kun je op ver^ 
schillende manieren voorkomen. We 
laien dit zien aan de hand van Open- 
SSI I 3.8.1 en 4.2, beide geschikt voor 
alle Unix- en Linuxvarianlen. Andere 
SSH-daemons gebruiken een andere 
syntax, maar kunnen op vrijwel de- 


LUHng li Hvidlge loglnpoglttgen 

frdi 1 liit(s) 

frai 1 TiitO) 

aUt^itder/pHiuord froi 1 

frci 1 Tiidd 

alicc/passyord fre» _ 

atuiaipissudd rrcs"::fTff:Zll .ZZ.irjrTTiadsy 
frui 1 Tinetd 

fr» 1 Tlaatd 

illsn/paHUiinl frei J: t Tiictd 

aUi^n/paisvoH tr^ii 1 TiitIO 

atiostipa&sy^rd froi 1 Ti»(s) 

aLpka/pas^uQrd frei 1 HicUJ 

altacjibustad^rfdpas^uord froi \ Tiiitd 
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Listing 5 $H-keys goneroii 

ifSfr1?3aii(seriflj-S sslt-ltei^gcii -d 

poMIc7private dse ki<f pjir. 

Enter fUe h which to im tlie key (/hoie^u^erfSS^ssh/idJsa}; 
Crfild directory Vhl}Bc/yscr^^3/.ssl^^ 

Enter pnesihkase (eopty fpr nn pesiphraee): 

Enter me peispliraH egein: 

Ynitr idertfficntiDFi ha been snved in /hene^ujerl^^/.jshiidjse. 
Im public ley bs ben med in j'hene^uier123/.£sh/idJ^aKpiiL 
The key fingerprint is: 

f4:Qi:ia;E5:5f:7^b^.t37i4a;ef:1e:b:b5:ai^bO:.Sfa user12]Elxserv1 


Online brennen 


PAM aufi> 
bbckifsking; 

OpenSSH: 


WWW, hexten.net/pa nn„pbl/ 
WWW, 0 perns h.org 


zeUde manier worden beveiligd. 

Een goede tegenmaatregel is om de 
toegaiig tol SSH te beveiligen mel foe¬ 
hn Ip van een asymmetrische versleu- 
teling. Ojii op deze manier te kunoen 
inloggen moet er eerst een sleiitelpaar 
bcstaando uil een public cn ccn priva¬ 
te key gegenereerd worden (listing 2). 
lien nadeel hiervan is dat je een priva¬ 
te key niel uit jc hoofd kunl Icrcn, 
zoals een wachtwoord, niaar fysiek 
met je mee moet dragen. 

Daarom is hcl handig oni ook dc 
sleutel met een wachtwoord te bevei¬ 
ligen* Dit heeft niets te maken met het 
login wachtwoord, maar voorkoml wel 
dat een potentiele aanvaller die in het 
bezit konu van deze sleutel ook me- 
tecn onbcpcrkle toegang lot jc sys- 
teem heeft. Hierdoor heb je nog de 
tijd om een nieuw sleutelpaar te gene- 
reren cn de public key op de host te 
vervangen door een nieuw exemplaar* 

Sleutel beveiligen met 
een wachtwoord 

Het SSH-slcuLclpaar bestaat uit dc 
public key id_dsa.piih cn de private 
key id_dsa. De openbare sleutel be- 
vindt zich in de home directory van de 
gebruiker op de remote machine cn 
moet toegevoegd worden aan de lijsi 
met be St aan de skuLcIs door middel 


van het commando cat id_dsapuh 
» --/.sMauihorized_keys\ Als je dit 
bestand overschrijft in plaats van het 
op deze manier I anger maken, kun je 
de sleutel van andere gebruikers over- 
schrijven en in het ergste geval zelfs 
dc administrator buitens!uiten* 

Vervolgens is het tijd om de nieu- 
we iogiiiprocedure Ce lesten en Open¬ 
SSH tc conngurcren (zic listing 3). 
Hierna zijn nog enkele wijzigingen 
noodzakelijk om authenticatie mid- 
dels wachlwoordcn uil te schakeien* 
Dan is de machine pas goed tegen 
brute-force-aanvalleii beschennd. 
Soms ontkom jc er echter niet aan om 
wachtwoord authenticatie te gebrui- 
ken. Tegenwoordig wordt dat meestal 
gcVinplcmeiUecrd met bchulp van de 
oorspronkelijk door Sun ontwikkelde 
'Pluggable Authentication Modules’ 
(PAM), die tegenwoordig voor alle 
Unix- en Linuxvarianten beschikbaar 
zijn, Het PAM-raamwerk biedt diver¬ 
se Mow lever aulhenticatiemogelijk^ 
heden ondcr ccn ‘high IcvcP API 
voor systcemtools. Hiermec kunnen 
uitbreidiiigsmodules met diverse re- 
gcls voor allc gebruikers worden ge- 
koppeld. 

Getimede blacklisting 

Een voorbccld van zo’n FAM-uit- 
breiding is dc aulo-blac- 
klisting-module pam_abl 
van Andy Armstrong. 
Deze kan cen account of 
het IP-adres van een com¬ 
puter automatisch biokke- 
ren als van daaruil mccr- 
dere foutieve logins zijn 
gedetecteerd* Pas na een 
bcpaaldc peri ode mag de 
gebruiker een nieuwe po- 
ging wagen. 

Als je pam_abl wilt 
compileren (voor sommi- 
ge distributies zijn inmid- 
dels ook kant-en-klare 
pakketten te vinden) heb 
je de devei-pakketten of 


headertlles voor PAM en BerkeleyDB 
4.3 en 4.2 nodig. Een test met 
DB4,2.53 op Debian 3.t verliep pro- 
bkemloos, Na de installatic moet het 
PAM-bestand door SSH worden aan- 
gepast. Om SSH gebruik te laten 
maken van PAM moot de reget ‘Use- 
PAM yes’ toegevoegd worden. 

Met het opstarten van pam_abl 
wordt ook het configuratiebcsLaiid 
/efc/securiiy/pam_ab!. conf aan ge- 
maakt, dat door de beheerder vrij kan 
worden veranderd, Hierin bepalen 
host_ purge en user_jmrge hoe lang 
de host of gebruiker geblokkeerd 
wordl na opvallcnd logingedrag. Dal 
gebeurt volgens het formaat ‘s,m,h4% 
wat staat voor seconden, minuten, 
uren en dagen* Na deze periode is het 
weer mogelijk om vanaf het he- 
treffende IP-adres of account in te 
loggen* 

Om automatisch te hlokkeren moet 
hosr_ruIe. of user_rule aangeven hoe 
vaak een gebruiker foulief mag inlog¬ 
gen. Ook uit/.ondcringcn voor gebrui¬ 
kers die nooit geblokkeerd mogen 
worden moeten hierin worden opge- 
nomcn. Ecu stcircLjc ('*") gee ft aan dat 
deze regel voor alle gebruikers gcldt. 
Met een uitroepteken (!) geef je aan 
voor wic dit nict gcldt cn met ccn 
pipe-teken (I) maak je een gebruikers- 
lijst aan. Met 

user_rule=*:5/l h 

root/ssh [odmin/* j dba/*:3/l h,8/1 d 

geef je bij voorbccld aan dat een ge- 
wonc gebruiker maxi maul 5 maal per 
uur foutief mag inloggen voordat 
pam_abl hem of haar blokkeerl. De 
gebruikers root, admin en dha mogen 
maximaal drlemaal per uur en maxi- 
maal acht maal per dag fout inloggen, 
voordat zc op dc blacklist komen, Dc 
host blokkeert alleen ssh, omdat an- 


Llillng 4 i blackliiltiig 

Listing Kutoiniscle biuUisting 
t /ft f/iHo ri ty / panJ b i . cem f 
debug 

Iiostjb-/var/itb7abt/faosts.db 

l»0stjiirje=2iJ 

ascp Jb=/irarn ii^abl^ysef s .d& 

BS(rjurge=2[( 

us(PjuU=lri5Olil0nb^J0n4 


Listing Zz FAM-voorbeeldconfigunilie voor SSH 


I cflniHufatiim fiir the SECun SIeII ssrvfce 

I Disillo'y i>Of]-r0at Ugiivs ubEir /Etc/iinlotin Eiists. 
autb fEguir^d paiijaUgiiiH.sa 

auth fBguirtd psnjbL.so cnnHg=/ete7sEeLrity/paft_3bLcji4tf 

I R^ad sHviryiufrl wariablts fr» /eU/enfironiefit and 
iH /Etc/secdrityipanjDV.-conl. 
ayth r&qyired paujiv.so ( [1] 

I Standard UryM aifth£^-lf{;ati(i{]* 

J Uatiitard Un*] author i^iUoB* 

I StaAdaH smfaQ and teardaiA. 

1! PriAt IhE BASsagt aI tbs day upM syccesstd Logir. 

SEssiBA BptiQAtL paa_notd.s0 D Ul 

I PriAt ihE status of ibe lisfr’s nafUoK upen suctessfyl LAgin. 
aessfim uptinniL paa_Biil,st3 standard nganv I 11} 

I Set lip mr Units frni iBiUsEcarityniBits.cniif* 

SESsian fEgaired paijiiits.sp 

I SUAifard Unn paasvard apdating. 
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Netwerkbevelliging 


Listing 5s Gnnfignrfttlnbnslnnd vnnr de SStf-sorvicn 

I Ncbfe 9 fi»(raUd cimfigiiratiijn file 
i tk &sbd(S]i BSiipafe fgr d&fiils 

0 tkt IFs and probtols we Usteti for 
Port U 

I Use these optittns to restrict which intirfeces/pretocels sshd will bind to 

lUstEnilddrEss 

iListenydress dtPJJ 

P^^^totol 2 

i hostlejrs for pfotocol version 2 
Hostley / etc/ssli/sshJostjsiJey 
Nstitey /etc/ssks&h'bostJssjey 
fPrivilege Separation is turned on tor security 
UsfPrivilejeSepiratitm yes 

f ...but breaks Fat auth via kbdint, so wa km to torn it off 
f list M aolhentication via tteykard-iiiteractiifE so PAR nodules can 
f properly ioteHace with tk usar (off due to PrivSep) 
IPARAuthenticatiofiVialhdlnt ito 
I Lifelite and site of epheteral version 1 server key 
KayGeieneratiociIntervol ^bOlI 
Sirverkylits 74! 

I Loggioi 

SysLogtacility AUTh 
LogLivtL im 

I Aotkoti cation; 

LogioktooTiie 41)1} 

Peril tiflotLogiji no 

StrictRodes yes 

flSAAwtbenticitiou yes 

Put) keyAutkrt feat ion yes 

AuthoH ttdHaysF i It 2li}. sskiutkrizedjiys 

I rhosts aothetiticatioo sliouLd not be~vsed 

rtliostsAythEnticetion no 

I Don't read the user's */,rhosts and ‘7,shosts files 
tgaoreJhosts yes 


I for this to vert yes oitl also need lost keys in ietc/ssh.kowiijosts 
RhostslISAkthentication no 
I siiibr for protocol version I 
losibesedAuthentication no 

I ynceuent if yoj don't trust ^/.ssbllnounjosts for ihosisRSAAutkntication 
IlgnoriUserlnoiiiiksts yts 

I Tg enable eipty passwords, change to yes {NdT RECOMEIlDEII 

PeriitEiplyPassiiords no 
d UncoHent to disable s7ky passwords 
Khal I EngeRespocisekchenticat ion m 

I To disable tunneled dear Nvt passwords, change to no here! 
Passwordkthenticalion yes 

I To change Kerberos options 
iKerherggAutlEnticition no 
iKerborosQrLocalFassvd yes 
lAFSlokoPassing no 
IKerberosTicktClejnup no 

I krberos tfil Passing does only work with the AF5 laserver 
IKErbcrosTgtPassini yes 

dlforwarding yes 
KlilisplayOffset 10 
Prinilotd oo 
fPrintlaslLog no 
kepAlive yes 

ffUselogin no 

iKaiStartups 1l];50:4p 

Sbanner fete/issue.net 

lAeversePlappingCheck yes 

Rkbsystei sft]^ /usr/tib/sfep-server 

KOi PhyOL te gebruikci loet bier dt optie geactiveerd vorden). 

ilfsePAH yes 


ders services als cron die ook PAM 
gebruiken niet mcer door de gebrui- 
ker root te benaderen zijn. Met de 
commandlinetool pam^abf kaii de be- 
heerder een ovcr/icht krijgcn van de 
actieve blacklists* 

Natiiurlijk blijft er altijd het risico 
dal een aanvallcr meLeen het juiste 
wachtwoord invoert - dat kan een 
blacklist niet voorkomen. Maar het 
fell dal hij ernaar moct raden cn daar- 
voor sieclUs enkele pogingen heeft 
voordat hij op de zwarte lijst komt, 
bemoeilijken in elk geval brute-force- 
aanvallen. Zoals ieder veiligheids- 
concept moet ook dat rondo m ssh 
over meerdere fagen beschikken. Ge- 
bruik van alleen pam_abl is niet vol- 
doende. De combi natie van sterke 
wachtwoorden, een automatische 
blacklist en slimme loginbeperkingen 
verhogen samen de veiligheid van het 
systeem. Oen andere mogelijkheid is 
‘security by obscurity'': verplaats de 
ssh-server van poort 22 gewoon naar 


LiAtIng fti AHvmatffll vww btikkksrvn wvnt 
SStt m«t Iptubiilf 

f (c) Riok Sifbon 
f Ns ^ verbindingsitogingco in }DD 

I sECOiikn vanvf ata bspoald if — - 

f worden olU ttiouvo connectias 
I van !fit IP ifdropped. 

iptablos -I liPyt *p Icp Hport It H Slf JKT -f 
state ”Siat( m -i 
recent --set 

iptebles -I SIP13T -p tep “dport It -i SIFJXT -i 
state -slite itFI -■ 

recent —update -seconds M -bitcoiint ^ -j DRDP 


een andere poorl. Zolang dc parlijen 
met wic je samenwerki daar maar van 
op de hoogte zijn, hoeft dat nog geen 
slecht idee te zijn. 

Als extra laag kun je ook diverse 
toots en scripts van internet halen 
(DenyHosls, sshdt’ilter) die Ibuticve 
inlogpogingen uit logbeslanden als 
/var/log/aiith.log niteren en autonia- 
tisch verwerken tot firewallregels. 
Het nadecl hiervan is dat deze niet zo 
snel werken, omdat de voortdurende 
analyse van logbestanden veel capa- 
ciLcit vraagl, 

Beter dan Portsentry 

Het gebruik van een automatische 
blacklist heeft nog een andcr voor- 
deei. Tools als Portsentry, die reage- 
ren op een aantat SYN-pakketten 
door de desbeLreffemie host op de fi¬ 
rewall te blokkeren, kunnen door 
aanvallers worden misbruikt voor De¬ 
nial of Service (DoS)-aanvallcn. Dil 
gebeurt door gerichte aanvallen op de 
SSH-pooft met vervatste pakketjes 
van gespooftc IP’s, Door ecti auloma- 
tische blacklist te gebruiken in plaats 
van Port.semry, voorkoni je dit* Hier 
is iiameiijk een drievoudige handsha¬ 
ke vereist en die laat zich nu eenmaal 
lastiger ‘spoofen’ dan een simpel 
SYN-pakket. 


Whitelists 

Ook sshd zelf biedt een aantal op¬ 
tics tegen brutc-force-aanvallen. Zo 
bestaat er bijvoorbeeld de optic 
MaxAuthTries in het configuratiebe- 
stand sshd_config die het maximum 
aantal loginpogingen per verbinding 
beperkt. Een andere op loss! ng is de 
optic A How Users, waarmee je expli- 
cict de domeinen kunt vastleggeii 
waarvandaan niensen op je ssh-server 
inogen inloggen. Zo mag root bij de 
instelling „A!k>wUscrs root@*, 
exiimple.org *(g>localliost“ alleen 
vanaf de eigen machine en machines 
op het ex ample.org-domein inloggen. 

Conclusie 

Brute-force-aanvallen tegen SSH- 
servers zijn een recic dreiging. Een 
volledig waterdichte beveiliging be- 
staat niet, maar met maatregelen als 
gebruikcrsaccounts met public keys 
en automatische flexibele blacklists, 
wordt het inbraakrisico behoorlijk 
ingcpcrkl. 


LUKAS GRUNWALD 

werki ats consullani bij DN Systems 
GmbH in Hildesheim (D| en is belfokken 
bi| diverse open-source projecten. 
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Drie RAID-opslagapparaten voor 
tP-SAN vergeleken 

Storage d trois 

MicKael Riepe 

Steeds meer fabrikanten bieden naast klassieke NAS-ser- 
vers ook apparaten aan die met iSCSI werken. iX heeft 
drie kleinere exemplaren aan een test onderworpen: de 
Fibrecat N20i van Fujitsu-Siemens, de Snap Server 18000 
van Adaptec en de rapidSAN-iS 208 U3 van N-TEC. 



D e kandidaten hebben met veel 
gemeen, behatve dan dat ze aile 
drie het iSCSI-prolacol kennen 
(internet SCSI, ofwel SCSI over TCP/IP). 
Terwul de rapid-SAN-iS 20S van N^THC 
uitsluitend via iSCSI bereikbaar is, voor’ 
zien de Pibrecat van FSC en de Snap Ser¬ 
ver van Adaptec daarnaast in klassieke 
NAS-scrviccs zoals NFS, SMB/CIFS en 
AppleTalk. Ook de besturingssystemen 
verschillen: de onder Windows draaiende 
Fibrccal-scrvcr staal tegenover twee 
Linux-systcmcn. Adaptec past de nieuwe 


versie 4 van zijn Guardian OS toe en N- 
THC een geprcfabrkccrdc FI ash-module 
van Open-E. A Is gegevensopsJag dienen 
dc cue keer SATA- en de aridere keer 
SCSI’harddisks. 

Alle kandidaten tnoesten zich voor 
onze iSCSl-tesl aan de iX-heiichtnarks 
dread, dwrite cn nfsbenvh onderwerpen* 
De beide NAS-servers mochten nog twee 
ronden extra met nfihench doorlopen op 
NFS (versie 3) respeetievelijk SMB/ 
CIFS, Overigens zijn de meetwaarden 
daarbij naiiwelijks met die van de iSCSI- 


benehmarks te vergclijken. aangczicn het 
om principieel verschillende vormeii van 
databenadcring gaat: NFS en CIFS lezen 
en schrijvcn bestanden, iSCSI daarcntc- 
gen werki met 'rywe' gegcvensblokken. 

A Is client voor alle benchmarks I'un- 
geerdc Transtccs 1003 Server (2,8 GHz 
Dual Xeon, 8 GB RAM) onder Suse 9.3. 
Voor nfshench I'ormalleerde hei testappa- 
raat alle iSCSI-volumes met het journa¬ 
ling - be st a n dssystee m exiSfs . 

® Fibrecat N20i 

FSC heeft bij dc constructie van de Fi¬ 
brecat op beproefde middelen teruggegre- 
pen: de hardware van het instapniodel is 
atkomsEig van hun eigen model Primergy 
TXi50 S2. Het hart van de server in de 
towerbehui/ing is een siielle 3 <iH7. Penti¬ 
um 4 met 512 MB RAM-geheugen. Fen 
RAlD-controllcr van Promise (Fasttrak 
S150 SX4) met nog eens 128 M B geheu- 
gen bed lent vicr SATA-harddisks (Wes- 
tern Digital WD25(M)JD), die elk een ea- 
paciieit hebhen van 250 GB. Bij afleve- 
ring zijn deze geconfigureerd als RAID 5 
zondcr Hotsparc, Van dc 750 GB net to 
gaat ongeveer ticn CH3 af voor het bestu- 
ringssysteem, dc rest sfaat a Is gegevens- 
opslag icr bcschikking, Het apparaai on- 
dersteunt de RAID-levcls 0, I, 5 cn 10. 
De gebrniker mtJci echier na elke wijzi- 
ging in dc RAID-configuratic het bcsiu- 
ringssysteem opnieuw installcrcn, 

Helaas bezit de Fibrecat in de basisuit- 
rusting slcchu een snelle ethemelpoort 
van t Gbps. Voor failover of load balan¬ 
cing is een extra ethernetknart nodig. Fen 
bay vo<>r een op done le tweede netvoeding 
lijkt wai redundant. Een diskette- en dvd- 
roinstation completeren de hardware.. 

Als de Fibrecat een vast !P-adres nioet 
krijgen, moct je vd6r ingebruikname op 
een Windows-compuler een configuratie- 
diskette maken en het apparaat vanaf die 
diskette booten. Doc jc dat niel, dan ver- 
schaft de Fibrecat zich gegevens vanaf de 
eerste de besle DHCP-server. 

Je bent dan als beheerder nog niet 
klaar. De geYnstalleerde Windows Stora¬ 
ge Server 2fX>3 bevat noch het veiplichte 
Service Pack I, noeh dc vele beveiliging- 
spatches die ondertussen bestaan. 

Voor de iSCSFFunctie van de Fibrecat 
is Wintarget-software van String Bean 
verantwoordcl I jk (w w w .stri ngbcansol 1- 
ware* com). Wie daarvaii gebruik wil ma- 
kenmoet bij de f abrikanl echler een liccn- 
tiecodc aanschaffen cn daarmcc de soft¬ 
ware acliveren. Voor anderc 'hogcrc' 
functics van de software, bijvoorbeeld 
voor snapshots, moct jc extra betalen. 
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REVIEW 


iSCSI 



Niet zonder mijn IE 


V<xir Uni)(.-gebruikcrs wcrpt Rbrccat ccn 
klcinc extra horde op: de webinteiface maaki 
gebruik van ActiveX en daarvtxir is Micro¬ 
soft [ntemet Explorer vereisl. Wie geen Win- 
do ws-eompulcr bij dc hand heeft, kait zich 
met een true bchcl|X'ii: bet Wimiows-sys- 
teeni dai op bet appaniMi is gcVnstallccrd kan 
via hei Remote Desktop Protocol (RDP) op 
afstand worden Ixjdiend eii bevat daarioe txjk 
de bentxligde Inlemel Explorer. Ecu open- 
sou rcc RDP-clicnt v(K>r Unix is verkrijgbaar 
op WWW j^desk top.org. 

In de iX-benchmarks sloeg de testopstcl- 
ling van ESC hclaas ullccn bij hei lezen een 
goed tlguun vanaf het kale i^SC-'il-staiion 
weixl lussen de 5S en de 68 MB per sccondc 
gelransportcerd, maar bij het schrijven remde 
dc drive af tot mindej' dan 12 MB/s. Aange- 
zien de gebmikte fiartldisks dooi^a^ins sneb 
ler werken en ook dc CPU van Fibrecai bij 
langc na niet volledig belast was, heslaat de 
vetdenking dal de RAID-contmder vcx>r die 
lemgval in prestaties verantwoordelijk is. Op 
hcl iSCSI-volume met exl3fs leverde nfshen- 
ell sterk wisselende mectresiiUalen op, die 
ruirn onder die van de kale drive lagen. Bij 
locgang via SMB schreef de Fibrecat iielatief 
constant met IB Mhjts en ging bet lezen met 
L5 Mbps. Als NFS-server bcreiktc de Fibre - 
eat Iczend 20 lot 30 Mbps en bij het le/en 
van grote blokken zelfs tussen de 40 en 60 
Mbps. Desondanks zijktc het schrijftempo 
onder NFS lot cen indiscutabele 1,5 Mbps, 
onafhankelijk van de blok- of buftergrooUe. 
Het lijkt wel of de NFS-implemcntatic van 
Microsoft zich sinds 2002 niet noemens- 
waardig heeft ontwikkcld. 

Daamaast viel het op dat zowel soft¬ 
ware als besUiringssysteeni van Fibrecat 
zo goed als geen gebruik maken van de 
tweede logische CPU van de voor hy- 
pcrthreadiiig geschikte Pentium 4. 
Onder onistandighcdcri kon met weinig 
moeilc duidelijk meer prestatie uit de 
machine worden gehaald. 


De kleinere Fibrecat van 
Fujitsy-Siemens wordt 
geleverd met een 
towerbehuizing {afb, 1 

Snap Server 

18000 


Adaptec heeft zijn 2U 
hogc NAS-server ogen- 
schijnhjk uitgemsl met veel 
meer rekencapacitcit dan 
nodig is: twee snelle 3,06 
GHz Xeon DPs besturen het apparaat. Zin- 
voller lijkl de 2 GB RAM, en op cen in- 
steekkaart is nog eens 512 MB accuge- 
buffcid RAM-geheugen voor de cache on- 
dergebracht. Een RAID-controUcr zul jc 
vergeefs zocken, want dc Snap Server re¬ 
al! see rt die softw'arematig. Daarmee is ook 
verklaard waarom hel apparaal zo veel rc- 
kenkracht met zich mcezeult. Met twee 
snelle ethernetaansluitingen van I Gbps is 
verder onalbankelijke locgang, loadbaUm- 
eing of fail-over mogchjk, 

Acht SATA-harddisks van Maxtor 
(Maxline Plus 11) met elk een capacitcit 
van 250 GB stcllcn in de gcleverde confi- 
guratie — RAID 5 met Hotspare - netto 1 ^5 
'I B ter heschikking. E<Snvijfde claarvan is 
vtKir snapshots gereserveerd. Het bestu- 
ringssysleeni ondersteiint alleen de RAID- 
levels 0, I en 5, Als je op langc icrniijn 
tncer geheugen nodig hebl, kun je dc Snap 
Server met externe dBOD-schijfbehuizin- 
gen tot een bmtocapaciteit van wcl 30 TB 
opschroeven. 

De Snap Servej' kan via bijna alle gang- 
bare graftsche browsers worden bchccrd. 
llct IP-adres en belangrijkc mcldingen 
toont het apparaal bovendicn ook op een 
vierrcgelig LC-disp!ay. Als jc in ilc server- 
niirnle mcerdcrc racks vol apparalen hebt 
slaan, kun je die klcinc luxe wel waarde- 
ren. 

Naald op maximum 

In hcl laboratorium verraste dc Snap Ser¬ 
ver met een onmogelijk meeiresulUiat: de 
eerste H GB van het iSCSI-slation wcidcn in 
slcchts 80 sccondcn gclczcn. Die omgere- 
kend 102 MB/s kunnen alleen dmir niet vol- 
ledig elimiiieerbare caching in dc client lot 
stand gekomen zijn: Gigabit EtlicntcL kan 
thcoretisch in het beste geval road de 95 
MB/s (ItK) MBps) via ecu afzondcrlijkc ver¬ 
bs nding verzenden. Vast slaat cchter dat het 
apparaal het laboratorium net werk tot verza- 
diging hoefi gedreven; wie nog meer uii de 


Snap Server wil halen, moet beide ethemet- 
poorten gebmiken. 

Ook bij sequenlieel schrijven met dwriie 
vesiigde de server met 90 MB/s een nieuw 
laboratoriumrecord. Met een liestandssys- 
teem op de iSCSI-disk werd hij cchtcr merk- 
baar lang/amer. Op cen piiar uitschietciij na 
sehreef dc server in de nfsJnmch slechLs 20 
tot 25 Mbps en las hij met 60 tot 65 MBps. 

De benchmark via NFS Icvcrdc hclaas 
stork wisselende meeUesultaten oj>. Het 
leestempo penddde onder gunsiige omstan- 
digheden - grote buffer cn gegcvcnsblokkcn 
- lussen 70 cn 1(X) Mbps. De schrijfpresta- 
tics lagen onder dezelfde voorwaanlen 
slechts hij 20 lot 30 Mbps. Bij locpassing in 
Windows-nclwcrkcn mocst dc gebruiker 
zich met nog minder tev reden stcllcn: bij 
SMB“loegang kwam de Snap Server Iczcnd 
ntHih schnjvend overde 15 Mbps been. Maar 
daarmee gaat hij nog altijd ongeveer gelijk 
op met Windows zoals dal native op dc 
Fibrecat draait, 

N-TEC rapidSAN-iS 
208 U3 


N-TEC kon aan het begin van de test 
enkel een apparaal uit dc voorserie ter be- 
schikking stcllcn. Dc seiicmodcllen komen 
met cen SCSi-RAlD-contitiller van Adaptec 
op de markt (2130SLP, lowprofile PCI-X), 
Hcl Icslapparaal bevatte cchtcr cen ICP Vor¬ 
tex GD3'-8524KZ. Pas kon vtXM- de redactie- 
sluiting bereikLe een apparaal met scricuit- 
rusting dc iX-redactic. Dc albcelding toont 
daamm nog het voorseriemodel. 

Met twee 3,2GHz snelle Xwjn-processors 
is hel 2U hoge iSCSI-syslecm mccr dan vol- 
doendc uitgerust. Daar komt I GB work ge¬ 
heugen bij (diet door de momenieel 
nog gebruikle 32-bii Linux-kemcl zonder 
HiMcm-optie) cn 256 MB accugebufferd 


Jj-TRJVCT 

• In het $poor von de groeiende 
iSCSl-markt rusten fabrikanten 
zowel NAS-server$ als schijf- 
subsystemen uit met iSCSI. 
Zulke syatemen zijn behoorlijic 
versctiillend opgebouwd. 

• Voor de test verschenen drie 
syslemen: een native iSCSI- 
systeem en twee iSCSi-NAS- 
servers. 

• In uitrusting en prestglies ver- 
schillen de systemen oonziem 
lljk. 
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E>e Snap Server 18000 presenteert zich 
ingepakt en goed geventiieerd (afb, 2). 


cache op ck RAlD-controIici\ Bovcndicn is 
het seriemahg toege paste Superinictx^-boaid 
Liitgcrust met IPMl 20, 

Als cTiige apparaat uit <lc test is de rapid- 
SAN-iS 2m voor/.ien van Li320-SCSI-scliij- 
ven (PujitHu MAT3073NC). De SCSl-dD's 
bieden met 2;o’n 73 GB wcliswaar aanzicn- 
lijk minder capaetteit dan de actueie SATA- 
schijvcn, maar /ijn sink ken betroQwbaarder, 
vtK>ral in continubedrijP AIk je bedrijfiikriti- 
sche gegevens moei opslaan, zit je met een 
SCSI-systeem aan de veilige kaiU. Voor an- 
dctc toepassingen is het systeem ook met 
SATA-scliijven verkrijgbaai’. 

De conimllerondersteunt de RAID-levels 
0* 1,5. 10 cn 50 cn JBOD. N-TEC lever! het 
apparaat met een voorgeconf igureerdc RAID 
5 (7 harddisks plus Hotspare). 

Dankzij de twee snelle IGbps ethemet- 
aanslnilingen ondersteunt het apparaat failo¬ 
ver en loadbalancing. Daamaast beschikt het 
over cen disketteslalian en een oplische drive 
(DVD/CD-RW) in notebookfomiaat - pure 
dvd-rotndrives lijken langzainerhand van de 
mark! le vertiwijnen. 


Woeste springmuis 


Zijn besturingssysteem b<K)t dc server 
vanuiL de ingeboiiwde IDE Flash-module 
Open-E iSCSI Enterprise (www.open- 
e.com). Als het apparaat zijn IP^adrcs niet 
van een DHCP-server mag krijgen, meet je 
een toctsenbord cn monitor aansluilen om 
het adre.s handmatig in te stellen, Bovendien 
kan vanaf de console de .status van het appa¬ 
raat worden opgcvraagtl of de RAlD-uml1- 
guratic vvorden gewijzigd. Al het andere bc- 
heer kun je via de browser uitvoeren. Bij se- 


quentieel lezen en schrijvcn met dread cn 
dwriie gediioeg het appai-aat zich nogai raar: 
met 73 lot 75 MB/s bereikte het een aecepta- 
bel schrijftempo, bij het Iczcn daarenlegen 
bleef de naald van de tachometer op amper 
28 MB/s siaan. Hel voorseriemodel (met een 
andcr moederbord cn een anticre ICP-eon- 
i roller) gedixreg zich net zo, het was all cen 
maar iets langzamer. We veriiioeden dan ook 
dat de oorzaak in dc Open-E-software moel 
worden gezocht. Voor een nauwkeurig on- 
derzoek was helaas te weinig tijd. 

In dc nfsbench gedroeg hel systeem zich 
daaicntegen zoals je van een RAID 5 mag 
verwachien. De client las gemiddeld met 45 
tot 47 MBps cn remde bij hot schrijvcn mia 
af (30 tot 35 MBps). Ongcbruikclijk is dal 
het apparaat bij random access op een be- 
standssysLcem snciler leest dan bij mchist- 
reekse sequentiele toegang lot dc harddisk, 
Wellicht is de iSCSl-softwate zo sferk geop- 
limtiliseeni voor hel eersle geval (dal in de 
praktijk het mcest voorkoml), dal het in het 
tweede geval tekortschiel. 

Conclusie 

Hoc krachtig een iSCSI-sysleem is, hangt 
%^an tneerdere factoren af. Dc doclsoftwarc 
bcmiddell lussen netwerk en opslaggeheu- 
gen, maar vcrricht geen wonderen. ALs je de 
prestatie.s van een typischc SCSI- of FC- 
RAID wilt bereiken, moet je zonder omwe- 
gen toegang krijgen lol de harddisks, zoals 
N-TEC dat doci. Overigens valt cr aan de 
van Open-E afkomstige st>ftwaje van dat ap- 
piiraal nog wel wai te verbeieren. 

Een stable] t^pslagnctwcrk is met iSCSI in 
ieder geval in een handomdraai opgebonwd. 

MICHAEL RIEPE 

is freelance ouleur. 



Fibrecat N20i: 4 x 250-GB SATA^ 
dfsb (Western Digital 
WD2500JD1; 1 x Gigabil Elher- 
net; Promise Pasttrok SI50 SX4 
me! 128 MB Cache; 3 GHz P4; 
512 MB RAM; towerbehuizing; 
Windows Storage Server 2003; 
String Bean Winlargel 

Fobrikonf: Fujftsu-Siemens 
Prijs: vanaf € 3.699. 

Snap Server TSOOOj 8 x 250 GB 

SATA-disks (Maxtor Moxline Plus 
II); 2 X Gigabit Ethernet; 2 X 
3,06 GHz Xeon; 2 GB RAM; 512 
MB occugebufferde Cache; 2U 
inbouwhoogte; Guardian OS; 
SW^RAID 

Fabrikant: Adoptee 
Prijs: € 13.999. 

rapidSAN-iS 208 U3t 8 x 73 GB 

U320’SCSI disks (Fujitsu 
MAT3073NC1; 2 x Gigabit Ether¬ 
net; Adaptec 2130SLP lowprofile, 
PChX-HBA met 256 MB Cache en 
BBU; 2 x3,2GH2-Xeon; 2 GB 
RAM; 2U inbouwhoogte; Linux 
(IDE'Flash-module Oper^E iSCSI 
Enterprise) 

Fabrikant: N-TEC 

Prijs: ca. € 5.800 ex. BTW 


JX«Be<M»rdieliiig 

Fujitsu-Siemens Fibrecaf N20i 

© slechts een ethernetpoort 

0 aanvullende licenties voor iSCSI 
en snapshots noodzokelijk 

Adaptec Snap Server 18000 

@ overtuigende iSCShprestahes 

© uitbreidboar met externe herd- 
diskbehuizingen 

N-TEC raptdSAN-iS 208 U3 

© SCSl-harddisks 
0 nieiergonomische weblnterface 


In de rapidSANnS zifn uitsluitend 
standaardcomponenten toegepast (afb, 3], 
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Bon weg? Geen nood. 

Fax je aanvraag naar+31(0)24 - 372 36 30 
Je kunt natuurlijk ook het formulier 
op het web invullen: 
Httpy/www.ct-magazlne.nl 


Stuur vandaag nog de bon op! 
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Storage Area Networks 



SMl-S: fabrikantoverkoepelende 
standaard voor opslagnetwerken 


San onder de knie 


Thorsten Schafer, Alexander Wolf-Reber 


Enkele jaren geleden leek het nog onmogelijk dai opslag¬ 
netwerken met hardware van verschillende fabrikanten ooit 
centraal zouden kunnen worden beheerd. Inmiddels is de 
standaard SMI-S erin geslaagd binnen enkele jaren de markt 
van toepassingen voor Storage Management wezenlijk te 
veranderen en deuren naar de toekomst open te gooien, 


N ad at t>pslagnclwerkcTi op basis 
van Fibre Channel hun betrouw- 
baarheid reeds hadden bewezen, 
bkef de vraag bestaan iii:iar cen 
gcmecnscbappel ijke hehccrinterface. 
Het beheer van complex, heterogeen 
opslagnelwerk was typisch een taak die 
gepaard ging met cen grmrt aantal vlt- 
schiliende managementtoepassingen en 
waarmee vecl werk en dus ook hoge 
kosten waren verhx^nden, 

Daar heeft de Storage Management 
Initiative Specification (SMI-S) veran- 


dering in gcbracht: fabrikanten werken 
nauwer samen en wisselen hun 
interfaces iiit - zoals de standaard het 
cisL Maar belangrijker nog is dat 
intussen de geplande commiinicatie- 
interfaces van de SMI-S, de zogenoem- 
dc pR)vidcTs. van de fabrikanten bij de 
pr€xJuclt)ntwikkeling voorrang krijgen 
boven de proprietaire APFs, 

Dc eigenaar van de SMI-S, de 
Storage Network Industry Association 
(SNIA), is een vereniging van lets meer 
dan 60 bedrijven, die op het gebied van 


opslagnetwerken aclief zijn. Oorspron- 
kclijk hadden ze de SNIA opgericht om 
de populariteit van opslagnetwerken te 
bevordcren. Tcgenw(K>rdig zijn opslag¬ 
netwerken gemeengoed geworden. 

In 2002 kwam de standaardisering 
van het opslagmanagcment centraaj te 
staan bij dc SNIA. De grocp ging wer- 
ken aan een standaard, die eerst de naam 
‘Bluefin’ kieeg en later ‘SMl-S’ is gc- 
worden. De loiLcliJke werkzaaniheden 
van de SNIA werden hoofdzakeiijk in 
de VS venicht. In Europa en Japan be- 
perkten de SNIA-depcndances zich tot 
de marketing, Vo<.>r publieke demonstm- 
ties maakt de SNIA gebruik van de re- 
gelmatig plaatsvindeiide bijeenkomstcn 
van dc Storage Netwoiting World 
(SNW) in de VS, Europa, Japan en Aus- 
tralie* Zo weid in de herfst van 2tK)2 in 
Orlando in Florida de eerste vix)rloper 
van een door SMI-S beheerd SAN 
geintroduceerd: het CLMSAN-L 

Standaarden gebruiken 
en maken 

SMI-S bouwt vooit op bestaande 
standaarden. Het gn)t)tsle gcdeclle wal'd! 
beschreven In de specificatie Web-based 
Enterprise Management (WBEM) van 
dc Distributed Management Task Force 


Jl-TRACT 

• Met de Storage Management 
Initiative Specification (SMf-Sj 
heeft de SNIA de weg vrij ge- 
maakt voor de samenwerhing 
van op&lagnetwerkhardware 
en manogemenlsoftwore van 
verschillende fabrikanten. 

• In de huidige versie 1.1 heeft 
de SMt-standaard een omvang 
bereikt die administrators nu al 
de mogelijkheid biedt hun da- 
gelijkse werkzaamheden, 
zoaU controle en beschikbaar- 
hetd van resources, met een 
monagementtoepassing uit te 
voeren, 

• Tijdens de volgende functie-utf 
breidingen, die in onderzoek 
respectieveltjk In planning zijn, 
kon de vroag al worden ge^ 
sfeld hoe in de toekomst server- 
netwerk- en SAH-monagement 
in elkoor kunnen en moeten 
grijpen om een uniform IT-mo- 
nagement te reohseren. 


104 


iX 2/2i)(t6 















Symantec/ HP 

Verifcis Toiolsiofoge Storoge 

CcKnmand Cenfrol ProducHvily Centef Eisentkils 



HO$ Hicommand 
Siorage Services 
Manager 



Compvter Associates 
fliighisfor SAN 
Monoger 



EMC 

Control Center 




CtmXML over HTTP 


I I i i i i' i i i i 



t t t 


fl 


sm m m smi^ 

Agent B H 


1 /‘v t /\ } 
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tBM tekilsiottige tnteropercibility SNWE Congress Center, 

Certler, Moin^ Gem^ny Fronktert, Gormony 


I SNEA Technology Center, 
[ Cobtodo Springs, USA 


In alle drie de modellen van de SMI>S- 
architectuur publiceren de betreffen- 
de agents - hetxij aU proxy hetzij em¬ 
bedded - bun verbindingsgegevens. 
De managementsoftware kan dan 
vervolgens via cimXML over HTTP(S] 
de gewenste informatie opvragen [af~ 
beelding ! ). 


(DMTF). Met WBEM ontwikkelde de 
DMTF halverwege de jaren negentig een 
aanzct tot bcdrijl'sbrccd wcbgebaseerd 
IT-beheer - een stiindaartl die precies hij 
hct concept van de SNIA paste. WBEM 
beschrijft allc runclionelc aspecten, dat 
wil zeggen bewerkingen op het object” 
mixiel van het opslagapparaat respectie” 
vclijk op afkondcrlijke objecten. 

WBEM zelf maakt gebruik van drie 
basistechnieken: het Common Informa¬ 
tion Mtxlci (CiM) voor het modelleren 
van de te beheren opslagappanilcn, 
XML voor het beschrijven van dc be¬ 
werkingen op het objectmodel en HTTP 
voor het transport van XML-bcrichtcn. 

De belangrijkste standaard hierbij is 
C.'IM, waarmce een uniform model van 
de opslagapparatcn gcinaakt kan wor- 
den. In theorie zouden transport cn codc- 


ring van managementprocessen op c!k 
moment door andere beschrijvingstalen 
of pn>tiK;<illen gercaliseerd kunnen wor- 
den. De DTMF en de SNIA dtscnsstcrcn 
iiionienteel bijvoorbeeld over de toepas¬ 
sing van webscrvices. 

De grootste presialics van dc SNIA 
belreffen de uitbreiding van CIM op 
aspcclcn die voor opslagnetwerken 
speciftek zijn en dc integratie van bet 
Service Location Protocol (SLP). Hier- 
mcc kunnen apparaten d te door 
WBEM Worden bchccrd aulomatisch 
worden herkend, Dit voorziet naasl dc 
aanvragcndc User Agents en de Ser¬ 
vice Agents die de services aanbieden 
optionee! in een eentrale Directory 
Agent. De agent die in de SMI-S 
DirecUiry Server wtjrdt genocnid, regi- 
streert de SMl-S agents ccntraal. ELke 
SMI“S agent is wefiswaar zelf in staar 
zijn aangeboden service aan te bieden, 
maar bij complexe nctwerkconligura- 
lies is het desondanks vaak nocxlzake- 
lijk zo’n Directory Server te plaatsen. 
Je kunt hierbij denken aan verdeliiig 
van de SMI-S-agenten over mecrdcre 
subnetten. Directory Servers bieden 
bovendien de mogclijkheid van hand- 
matige registratie. 

Een Lock Manager, die eveneens in 


dc standaard is opgenomen, moet in hct 
SMl-S-systecm voor iransactiebeveili- 
ging zorgen. De/e functic is momen- 
teel echter nog optionee! en indicn wcl 
aanwcztg is deze slechts rudimentair 
geini p I erne nteerd. 

SMI-S-modeilen zijn op proftclcn 
gebaseerd. Voor elke ondersteunde ap- 
paratuurklassc zoals een switch of een 
array, is er een bijbehorend proficl, De 
profieldefinitie bepaalt het basismodel 
voorde desbclrelTende apparatuurklas- 
se en !egt daarbij ook de bijbehorende 
subprofielen vast. Subprofielen be- 
schrijvcn bcpaaldc functies of eigen- 
schappen. 

Daarmee bereik je twee dingen: 
ener/ijds hoeven functies die in meer- 
dere profielen vwirkomcn, niaar edn- 
maal gemodelleerd te worden. Ander- 
zijds kunnen de verschillen in 
functieomvang van verschillende 
apparaten binnen een profiel door 
sdeclic van de ondersteunde subpro- 
fielen worden aungegeven. Welke pro- 
fieien en subprofielen een apparaal 
ondersLeunl, wordt in het CTM-model 
beschreven. Daardoor kunnen beheer- 
toepassingen herkennen welke soorten 
apparaten met welke capaciteiien er 
benchikbaar zijn. 
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Agents: embedded of 
proxy 

In principe draaii hei bij WBHM re- 
spectievelijk SMI-S om een klassteke 
clienl^Ker\'er-architectuur. Centraal hicf’ 
in staal de SMl-S-agcnl, die dc intertace 
voor de opslagapparatcn voorstelt, V^uik 
heel z(>’n agent ook wel een CIM^agenl 
of een CIM-provider. 


In wezen zijn drie architectuurvor- 
men voorstelbaar: bij het SMl-S Agent 
Pmxy-nK)del draait de CIM-agent op 
een apaite machine en maakt daar ge- 
batik van bestaande p]x>tcxH> llcn v(x>r de 
verbiiidingcn met het opslagupparaat, 
Deze vorm van SMl-S-verblndingen is 
waarschijnlijk de meest v(K>rkomende, 
aangezien fabrikanten /Jeh hierbij op be- 
slaandc implementaties kunnen baseren. 

Het SMl-S Agent Oinbcddcd-mcxlel 


inlegreert de SMI'S-agent in het opslag- 
apparaat. Deze vomi van SMI-S-agcnts 
konit steeds vakcr vcx)r en waarschijn- 
lijk /-ill de groei in de toekomst alleen 
nog vertier dooizetten. 

Bij het CIM Object Manager Proxy- 
mcxicl hch ]e de mogelijkheid meerdere 
apparuten via e^ji setter met dc SMl-S- 
interface tc verbinden. Plug-ins, zoge- 
noemde pnwiders, maken verbindtng 
met het opslagnetwerkappiiraat moge- 


106 


ix mim 























- ■ v ■ 



SynurtK 

Siotdge Entsf prise Sretage 

Mng. ArivonCBd Applloitkms 4.0 

CwTvoftd CentTol 4.2 


iitnvw.synianliiL^iii 



J2EE- API's 

API's^ Corbo 

wdI^gui, cu, m 

Web-GUI, APt at 

geir}tegreflr[l 

gelnlegrcerd 

Storoge Aulhorrtv Mcnoger 

Command Central Storage 

Gkiliai Reportei. 

Report OssigoBf 

Commorvd Central Se«ice 

Exchonge. Rlesenrerv 

Exchange, MS SQL'Setver, 

MS,S«ii},MSSI}l-Seiw. 

Cluster Servir. Oraefe, OPS, 

Netopp. Otode. Sybase 

RAC, 0E2, Sybost, Netopp 

Vei iters Melbockup 

VeiltK NeftKickup. 

Veritas Backup Exec, IBM 

EMC Legato Notworkoi 

ProvisiQning, Chorgabnek 

Ptovistoning, Cliaigebudi, 
Servks Livel MnnoysiMnt 
&Ltsfnes£ Reporting 

Grade 97.0,1 

Sybose ASA 

Jolly Webservw. IBiKS 

“ 

alleen m SKMP 




AIK HP-UX IRIX RHd. SUS 

Affi Sx HP4JX. Red Hat 

Solaiis. Winrlaws HT. W2k 

Soioris8,9,10.W2I( 

tf2l£3 

W2K3 

nlleen via SNMP 

dieon vio SKMP 

liHp://iil.s jn.com/ 

flp.suppw it, veritEis.com/prjb/ 

oiidor Soflivoro > Sfoiugo > 

sjpporl/praducts/ 

Storogo Marmg&mflfit > 

CammandEiiitraLStaiciga/ 

27S8f!7,pdf 



Sabls9ar3 2/2a02'«^ 

W2lt Server, W2j(3 Server, 

Cfustar-Polch 

Solaris 87 


Otid UltcaSPARC \\i Sdaiis: UlttaSPMC ii. 

1,2 &Hz; 4 6B RAM 1 GHi; Windcnw: F4, 

I GHi/IICB^iQtti 2; 1 GB m 

lijk. Omdat jc hiervcK^r eeii aparte ma¬ 
chine nodig hebt en dc conflguralic erg 
iiigewikkeld Ls, kom je deze oplossing in 
cen SAN-umgeving nuiar zelden legen. 

Praktisch gezien kan hel samenspel 
van op SMl-S gebaseerde beheertoepas- 
singcTi cn SMI-S-agents als volgt wor- 
den voorgestcltl: cen op SMI-S geba- 
seerd apparaat wordt in een 
opslagi^elwerk opgenonieri en activeeit 
de SM[-S-agcnl. Die publiceert op zijn 


beuri via SLP zijn basisverbiiidingsge- 
gevens. Ben bchcerlocpassing vcrzendl 
een SLP-multicas! en informeen naarde 
SMl-S-agcnis die zich in het netwerk 
bevinden. A lie bereikbare agents even- 
als de Directory Server antv^<Kirden met 
hun verbindingsinforniatie, De toepas¬ 
sing is nu in slaat via cimXML over 
IITTP(S) de betreffendc SMl-S-agenLs 
aan le spreken en een gerichte aanvraag 
naar hel Loplevelsysteem le verzenden, 
Afliankelijk van hel type sysleem kun- 
nen nog rneer bewerkingen volgen, bij- 
vcxtrbeeld een aanvraag van aJIc aange- 
maakte volumes, ptxds, enzt>V(H)rt. 

Uitbreidingen op alle 
gebieden 

Terwijl in dc un nu Uk* beslaande 
SMl-S-standaard I i)2 praktisch alleen 
dc profielen Fabric, Switch, Array en 
Storage Virtualizer cen rol speelden, 
stelt de huidige SM!-S-versie i.l een 
grole batidbreedte aan profielen voor 
het hchecr van dc verschillende ele- 
menten in het opslugnetwerk ter bc- 
schikkiiig: 

- Het proHcl Fabric beschrijft de SAN- 
toi^ologie op logisch niveau met zijn 
appartjatverbindingen, zones, enzo- 
v(M>ri, 

- Het profiei Switch heval nu ook 
SAN-Switch-componenten zoals Bla¬ 
des of dc mienKode. 

-De pronelcn Fibre Channel-HBA en 
iSCSI-initiator staan voor de inter¬ 
faces van de hosts in het SAN. 

-In het profiel Array zijn dc klassicke 
grote en kleine opslagsubsystemen 
weer te vinden. 

-Hel profiel Storage Media Library 
beschrijft de bandeenheden. 

-Hel profiel Storage Virtualizer dekt 
op SAN gebaseerde opiossingen voor 
BIock-l.evefvirtualiseringen af, het 
profiel Volume Management doei 
hetzel fde met softwareoplossingen op 
de host. 

“Hel profiel NAS-Head beschrijft de 
Network Attached Storage (NAS) 
met exlcmc geheugenopslag, het 
Self-Contained-NAS-proflef doel het- 
zelfde met het interne geheugen. 

“In het profiel Host Discovered Re¬ 
sources vind je de SAN-resources 
vanuil de optiek van een specifieke 
host. 

Naast de bredere ondersteuning van ap- 
paraatklassen is met SMl-S I. I ook wat 
de subpniiloien betreft het een en ander 
veranderd. Asynchrone berichten wer- 
den tot nu toe nauwelijks toegepast. 


maar tegenwoordig is het gebeurtenis- 
senbeheer zodanig uitgerijpt dat agents 
de bchecrtixrpassingcn op storingen 
kimnen attenderen, De interne presta- 
tiestatistieken van de opslagsystemen 
zijn cvengtx:d een ondcrdeel van de 
standaard als dc kopicerscrviees. 

Binnenkort zal de SNTA versie 1.2 
van SMl-S publicercn* Met modellen 
voor lokaic en clusterbesLandssysLemen 
en voor databases nemcn ze een 
verdere slap richling host. Latere 
SMf-S“Versies zullcn ook globale 
best and s sy ste me n on tiers tc ii ne n, zt) wel 
hosLgebascerde verdcelde systemen 
a 1 sock SAN-gebaseerde. 

Versie 1.2 moet nu ook iSCSI volle- 
dig ondersteunen, dat wi! zeggen, je 
kunt switches beheren en zones aan- 
maken. De subprofielen vtxtr Lifecycle 
Management, Grid Storage en Policies 
tonen aan dal SMI-S in de pas blijft 
met actuele ontwikkcl ingen. Mins tens 
zo belangrijk kan het Client Lock Ma¬ 
nagement zijn* Daarmee kuiinen SMI- 
S-clients exclusievc toegang krijgcn Lot 
elementen van het CIM-model, wat 
cen belangrijke voorwaarde is voor 
Iran sactiefunc ties* Terwijl vandaag 
elke SMI-S-agent een eigen gebroi- 
kersdirectory hanteert, moet het Single 
Sign On de authcnticalic bij grolere in- 
stallaties vereenvoudigen* Ztigenoemd 
Cascading moet het voortaan mogelijk 
maken SMLS-agcnts vcrlicaal over el- 
kaar te leggen, zodat bijvtwrbeeld dc 
virtual iseringsoplossing via SMT-S di¬ 
rect dc aangcsioten opslagsubsystemen 
benadert en het RAID-level van de 
geexportcerde gegevensdrager kan 
aehlerhalen. 

Versie 1.2 zal bovendien het basis- 
profiel SML (Storage Media libraries) 
van versie 1.1, dat fysieke insti’umente- 
ring toestaat, met virtuele Libraries uil- 
breiden. Daarbij moet rekening worden 
gehouden dat ook de functieomvang 
toeneeml, a) is die tot nu toe nog heel 
nidi mental r: verdcr dan ‘move media" 
gaan de mogelijkheden niet. Huidige 
tape-agents beperkingen zich in grote 
mate tot alleen de weergave van de ap- 
parateii. Functies als LUN masking, 
mapping of hei monitoren van fysieke 
componenten, znals nelwerkapparaten 
of ventilators, zullen in versie 1 *2 niet 
onlbrcken. Hoewel tapebibliotheken 
momenteci cen stem pci drukken op het 
bee Id van tie media iibniries, beperken 
dc profielen zich niet uitsluitenil tot de 
tapebibliotheken. Oplische libraries 
zouden bijvoorbeeld eveneens gemte- 
greerd kunnen worden - en dat was tot 
nu toG slechis Lockomslmuziek* 
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Samenwerking vereist 

Het American National Standards 
Institute (ANSI) hcel’t SMI^S als 
nationale norm INCTTS 388-2004 aan- 
genomen* Bovendien heeft de SNIA 
SMI-S ook bij de lnlemalii>naJ Organi¬ 
zation lor Standardization (ISO) inge- 
cliend, die de norm speedig tot Interna¬ 
tionale norm meet verhofren. 

Dc uitwerking cn verdere ontwikke- 
ling van de standaard is in handen van 
de Technical Workgroups (TWG’s) 
van dc SNIA. Deze zijn samengesteld 
uit architecten en technici van de deel- 
nemende bedrijven die gezanienlijk iian 
oplosstngcn werken. Hcl komt cr op 
necr dat verbeten concurrenten samen* 
werken aan de verdere ontwikkeiing 
van dc SMI-standaard. Dc uitdaging 
bestaat uit het vinden van compromis- 
sen die aan de ene kant bij hei thema 
passen en aan dc anderc kani geen aan- 
bieders bcviHmechten. 

In het kader van de SNW-bijeen- 
komsten loom de SNIA dc actuclc 
stand van dc ontwikkeiing in zoge- 
noemde Scripted Scenario-demonstra- 
ties. Zo deinonstreerdcn ze op dc SNW 
Europe 2004 in Fmnkfurt het cenirale 
behecr van drie over de aardbol ver- 
deelde opslagnelwcrken (zie atbcclding 
2). Inmiddcls heeft de SNIA in haar 
Technology Center in Colorado 
Springs een permanenle demtK’onfigu- 
ralie opgc/.ct. Deze werd gekoppeld 
aan het tokale lab van de SNW Europe 
2005* I let doel daarvaii was complexc 
SAN-inanagcincnttaken over meerdere 
locpassingen verdeeld uit te voeren. 

Fabrikanten die aan de demonslra- 
ties willen dcelucnien, mocten in staat 
zijn apparaicn van andere fabrikanten 
te beheren - de interoperabiliteil is 
daarniee gewaarborgd. Om een voor- 
bccid tc geven: cen Tnanagementtoe pas¬ 
sing van Computer Associates vervaar- 
digde een LUN op een array van 
Hitachi Data Systems, die vervolgens 
door een IBM-toepassing aan een host 
toegewezen werd. Op dc Storage 
Networking World Eun>pe van het af- 
gclopen jaar in Frankfurt waren op 
SMI-S gebaseerde SAN-inanagcmcnt- 
locpassingen tc zien van CA, EMC, 

Een globaal SMFS-SAN, daf voor de 
SNW Europe in Fronkfurt In 2004 werd 
opgebouwd, beheerf vanof een plants 
meerdere toepassingen uit heterogene 
opslognetwerksegmenten op drie ver 
schillende locaties [afbeeldmg 2). 
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HDS, HP, IBM, Sun en Veritas/Sy- 
mantec (zie label van op SMI-S geba¬ 
seerde SAN-managementsuites). In de 
VS is deze lijst nog omvangrijker. De 
scenario's worden van jaar tot jaar 
complexer en maken op prukiische 
wijze het gestaag groeiende atmtal mo- 
gelijkheden aanschouwelijk. Tot de ty- 
pische scenario’s behoren momenteel 
Discovery. Volume Creation, LUN- 
Masking, Mapping, Zone Set Creation, 
Zoning en Copy Sei-viccs. 

De proef op de som 
nemen 

Voor praktijkproeven van de profie- 
len dienen dc zogenoemde ‘plug-fesls’ 
in het SNIA Technology Center in Co¬ 
lorado Springs* Bij deze rcgclmatigc 
ontmoetingen p[\)bcren untwikkelaars 
van diverse fabrikanten samen de 
nieuwste implementalies uit* Dc ccrsic 
reeks plug-fesls had nt>g als doel con¬ 
crete dcmonslraties voor SNW’s voor 
te bereiden. Daar heeft de SNIA echler 
snel verandering in gcbrachl met de in- 
trod uciie van zogenoemde smiLab- 
fasen, die telkens een half jaar omvat- 
ten* Daarin werd spcciale aandacht 
gcschonkcn aan dc doclgerichte door- 
ontwikkeling van de standaard. Op het 
ogenblik draait het smiLab-6 in het 
SNIA Tech-Center in Colorado 
Springs. 

^n grate stap vtR>rwaarts werd ge- 
maakl met dc invocring van het Con¬ 
formance Test Program (CTP)* In de 


beginperi(xlc had de compatibiliteit tus- 
sen managementtoepassingen en SMF 
S-agents te lijden onder het feit dat de 
fabrikanten dc specificaties verschil- 
iend interpreteerden. Met de CTP heeft 
de SNIA een cenificeringspmgramma 
opgezet, waarmee elke fahrikant zijn 
producten via cen geautomaiiseerd test- 
gereedschap moet laten testen. Hierbij 
IS speling in de interpretatie vrijwel uit- 
gesloten: onlbrckende compatibiliteit is 
vandaag de dag geen issue ineer. 

In rnaart 2003 vonden vtKjr appara- 
ten de ecrsLc ccrtinceringen volgens 
SMI-S 1.0*2 plants. Bovendien heeft de 
SNIA het programma uitgebreid met 
managementtoepassingen en in het 
vtK>rjaar van 2005 clientcertificeringen 
volgens SMI-S-1.0*2 uitgevi>crd. 

De slandaardisering van de manage- 
mentinterface belooft het beheer van 
heterogene SAN’s te vereenvoudigen, 
aangezien de administrator geen berg 
apparuatspecifleke toepassingen meer 
nodig heeft, rnaar met een op SMl-S 
gebaseerde manageinenlloepassing het 
volledige SAN under controle kan hou- 
den* Ook is er geen sprake meer van fa- 
brikanlspecinekc terniinologie, maar 
van cen uniforme taaL Dit effect kan 
ook met de huidige producten al wor¬ 
den gedemonslrecrd, hocwcl het hier en 
daar nog aan breedte en diepte ont- 
breekt* Maar dat is slechts een kleine 
halte op de weg naar het eigenlijke 
doel: dc beheerders nog meer ontlasten. 

Dit is slechts mogeitjk met toepas¬ 
singen die beslissingsprtx;csscn verder 
abstraheren. Dat wil zeggen, intelligen- 




Monogemeni 

Application 


Lock 1 

Monager 

■ 

Fli , 

Directory 

Server 


Service LocaKon Prolocol 



dmXML over HTTP 



SMI^/CIM Agent 

SMI-S/CIM Agen! 

SMI-S/CIM Obi«d Monage r 

A 


m 

Provider i Provider 

1 I i 

proprwtory 




Pni^ 


I 


proprivlory I propri^kir/ 

Piroioed 1 Protocol 


Embedfied Model 


I ' 


Proxy Model 


Proxy Model 


SAN 


iX 2/2006 
































Woordenlijst 


ANSI: Hci Amencan Niitional Stamlanis Institute is 
de Amenlcaanse itistantic voor de normering v^ln in- 
dustriele iiiethodes (wwviinsi.org). 

CIM: Het Conimon Infomiation Model is een uni- 
forni gegeveiismodei dat neiwerkcomponcnicn omif’ 
hankclijk van de implumeniatie gelijkvonnig weer- 
gecft, 

DJVITF: Dc Disiributed Management Task Force 
ontwikkclt nittnagcmentsUmdaanjen en itiEegratielach- 
nieken voor iniranei en imeTnct (wwwilmtf.org). 

HBA: Host Bus Adapters zijn insteekkaaiten die 
speciflcke hussen of netwcrken m\s SCSI Rbnc 
ChjmneL Fihemel. en?.ovooit) via slots met de host- 
bus van ecn compiiler (tegenwoonlig meeslal PCI) 
verbinden. 

ILM: Het Information Lifecycle Management is een 
standaanlgeba.sec[d concept voor hcl aulomatiscren 
van mkenccntrumbewerkingen op basis van zakclijkc 
en service-feve I-vereisten. 

ISO: De Intemaltotial Organisation for StimiLiidiza- 
tion is de iniemationale vemniging van slandaardise- 
ringconunissies uil 148 Eanden.die zilling heefl in Ge¬ 
neve. Dc ISO nccmi op Etilc icchnische gebiedcn 
inieniaiionalc standaardcn aan, alsook mcthodcstan- 
daaiden (www jso.otg). 

te managementtoepassingen beslissen 
op hcl laagste technische niveau au- 
tt]EtH)rn t>p basis van voorgedefinieerde 
regels. Een concreet voorbecld: ccn ad- 
minisiraior stelt vast dal in een databa¬ 
se nict vecl ruimte meer over is. Hij 
zoekl geschikte apslagruimtc met ade¬ 
quate prestaties en redundaniie, confl- 
gurcert e^n logische schijf en toegangs- 
paden, richl in een back-upreken- 
ceniRim een mirror in, enzovoort. Met 
auionooin agerende toepassingen ont- 
vangt dc administrator een melding dat 
de database aan het vollopcn is, waan>p 
hij een capaciteitsvergroting fiatteeit. 
Dc overige handdingen neernt de ma- 
nagementtoepassing over. 

Een vraag dringt zich daarbij steeds 
opnicuw op. Hoe ziet dat emit bij ser¬ 
vers, besturingssyslcmen en nctwer- 
ken? In rekencentra staat meer dan al- 
Iccn dc iniVastructuur voor opslag. 
Auttvnoom management vcreisl een ho- 
listische aanpak. Hier is een toenemcn- 
dc aanwezigheid van SMI-S op server- 
gebied waarneembaar, bijvoorbeetd 
door de ontwikkeling van NAS^ cn 
HI3A-profielen. De volgende versie zal 
bovendicn (H)k beslandssystemen om- 
vatten. De SNIA mist echler bet man- 
daat voor standaardisering op serverge- 
bied. or de slcrke impuls die de SMI-S 
teweeg heef't gebraehl (Hik t^p het scr- 
versegment zal overspringen, is op het 
moment niet te zeggen. Om dit hiaat te 


LUN: Het Logical Unit Number is de extern 
adresseerbare eeuheid van een opslagressource in 
het opslagnetwcrk of aan dc SCSUhus. 

SLP; Het Service Location Protocol maakt dc 
pubEicatie en autoniatische herkenning van resour¬ 
ces alsonk van .services in netwerken mogelijk en 
is in dc SMl-specil'icatie gcmiegreerd. 

SMI: Het Storage ManagemenE Initiative is het 
programma van dc SNIA voor de ontwikkeling 
van een fabrikantovcrkocpelcnde interfacestan- 
daard voor uniform beliecr van heterogene Dpslag- 
netw^erken, 

WBEM: Dc Web-hased Enterprise Managemeni 
Standard is een siandaard van de DTMF voor web- 
gebaseerd en daarmee platformonafhankcljjk En- 
terprise-managemenU die op lange lermijn het 
SNMP ab miinagemcn!protocol moei aflosscn. 

XML: Dc Extensible Markup liinguage is een 
standaard voor het vervaardigen van gestruclurccr- 
de, voor machines en mensen leesbaic bestanden, 
die hun algemene ophouw definieert. 


vullen, richteii mauagementtoepitssin- 
gen op dit gebied zieh op ccn bredc on- 
dersteiining van propriciaire interlaces. 

Waarheen teidt de weg? 

In deze samenhaiig mag het begrip 
Information Lifecycle Management 
(ILM) niet ontbreken. ILM is te 
beschouwen als een op siandaarden 
gebaseerd concepi voor geauloinati- 
seerde besturing van rekencentrum- 
bewerkiiigen op grond van zakelijke 
vereisten, bcdrijfsproccsseti en Servt- 
ce-Level-vereisten. Hier voor vorml 
dc SMl-specificatie een zeer belang- 
rijke basis. Zoals altijd is het de vraag 
of een concepi, dat nicl op cen slan- 
daard is gebaseerd, met een dergelij- 
ke bandbreedle zal kunnen fimctio- 
neren? De zogenoemde ‘Sticky 
Technologies’, dat wil zeggen,pro- 
priclairc oplossingen van fabrikanten 
die uitsluitend eigen apparaicn onder- 
steimen, zijn hier contraproductief. 
Zc houden altijd het gevaar in zich 
dat er gaten vallcn in de consistentie 
van het management, respecticvelijk 
van de gegevens. Je hoeft je maar 
voor le slellen dat de fysieke opslag- 
plaats van bepaalde gegevens wordl 
vervangen en ze vervolgens niet meer 
le beheren zijn. 

ILM heeft het afgelopen Jaar tij- 


dens dc SNW Europe in L’rankfurt 
veel aandachl naar zich loegclrokkeii, 
Weliswaar is het begrip ILM rekbaar 
en laat het strategen veel rutmte voor 
interpretatie, maar een ding is zeker: 
op de latige termijn kan de SMI-S de 
weg banen voor duidelijke en over- 
draaghare conccplen. Op korte ter¬ 
mijn is de funclieomvang die in de 
standaard word gedefiriieerd, niet toe- 
reikend. Vooral inlegraticpunlen voor 
servers en toepa.ssingen ontbreken, 

De cconomische voordelen voor 
k Ian ten van op SMI-S gebascerde 
managementtoepassingen liggen voor 
dc hand. Standaardisering betekent 
uitwissclbaarhcid van SAN-compo- 
nenten, of dat nu hardware of soft¬ 
ware beirefi. Dit voordeel kunnen ge- 
bruikers op hun bcurt gebruiken om 
de aanschafkosten te redticeren. Een 
andcr en belangrijker aspect is de re- 
duclic van de bcdrijfskosten. Dil be- 
rust hoofdzakelijk op dc geringere 
operationele beheerkosten als gevolg 
van de eonceniraiie op enkele ma¬ 
nagementtoepassingen. Over bet ge- 
heel genomen is vast te stcllen dat 
k Ian ten niet meer uitsluitend op de 
pure funclieomvang IcLtcn, maar ook 
oog hebben voor interopcrabiliteit op 
manageineiitniveau en dit zelfs als 
vereisic stcllen. 

Conclusie 

SMI-S heeft zich in 2005 definitief 
als standaard voor Storage Manage¬ 
ment gevestigd. Met versie LI heeft 
SMl-S de noodzakelijke functionele 
breedte bereikt. Versie L2 zal deze 
verder verdiepen cn uilbouwen. De 
nianier waarop de SNIA de standaard 
ontwikkclt, heeft alles in zich om ook 
in andere organ i sal ics school te 
maken. Zeker lijkt dat de aandacht 
zich moet verphiatsen van puur op- 
slagmanagcmcnt naar data- respectie- 
velijk informattemanagement. Be- 
grippen zoals ILM, Grid of 
Autonomic Computing drukken de 
wens van de marki uit naar verder- 
gaande en alomvattende manage- 
mcnioplossingen. SMI-S vormt hier- 
voor de basis. ^ 

THORSTEN SCHAFER 
DR. ALEXANDER WOI.FRE8ER 

Zijn werltzoom bij IBM Storage Softwors 

Development in Mainz. 
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^ ^ J®**” Maier 

_ De toegang tot bedrijfs- 

^ kritische gegevens wordt vaak al in 
de hoogste logon von het ISO/OSI-model 
geregeld door het gebruik van authenticatie- en 
versleutelingsmethoden in de gebruikerssoftwore. Moor niet 
iedere beheerder is zich ervon bewust dot een aanvaller deze 
beveiliging gedeeltelijk kon omzeilen op de logere lagen. 
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Hacks op loM 


V eel bedrijven beveiltgen huri in¬ 
terne compulcmetwerk volgens 
het "hard shell, soft cenier'-prin- 
cipc. De vej1>indingen met andere neh 
werken zoals internet zijn beveiligd 
met lire walls, geharde proxyservers, 
intnision-detection- eti intrusion-pre- 
ventionsystemeru Servers, worksla- 
lions, routers en switches die zich op 
hel interne netwerk bevinden, worden 
daarentegen als veilig heschouwd en 
worden meesial alleen in de standaard- 
instellingen ("out of the box’) gebiiiikl. 
Dat kan grote conscqucntics hebben, 
omdat cen betangrijk decl van alle aan- 
vallcn door eigen medeworkers vanaf 
het interne netwerk wordt uilgevocrd. 

Als je hot ISO/OSI-model naasi de 
praktLjksituatie legt. valt op dat voora! 
dc lagen dicht tegen de hardwciie aan 
(layers 2 cn 3) vaak over het hoofd 
gezien worden. Op de hogere lagen 
(layers 5 tot 7) worden kritieke servers 
bcschermd door versleutelings- en au- 
t he n t icaUemec h an i s m e n, h ij voorbee 1 d 
de systemen die gebruikt worden voor 
de boekhouding. Maar die beveiliging 
kan ornzeild worden op de lagere lay¬ 
ers, en slechts weinig netwerkbeheer- 
ders zijn zich daar bewust van. Hel kan 
bijvoorbeeid vtH)rkomen dat data wel 
versleuteld op cen server zijn opgesla- 
gen, maar dal diezelfde data open en 
blooi over hei interne netwerk verzon- 
den worden als ieinand ze wil bewer- 
ken. In dit artikel laten we een aantal 


aanvallen zien op enkele Mage' proto- 
collen. 

In het algcmeen kunnen hackers de 
volgcnde aanvalsstrategieen loepassen 
op de laagste lagen: 

Denial of Service-uUacks (DoS): bij dit 
soort aanvallen raken routers en 
switches overbelast, soms zclfs 
nieerdcrc legelijk, en vallcn uit. De 
toegang tot bedrijrsknitcke systemen 
staat daardoor op hel spcl. 

Man in the Middlc-aliaeks (MitM): bij 
deze rclaiicf complexe methode leidt 
de boosdoener de gegevensstroom 
tussen twee systemen via een derde 
systeem om. Bij een gcslaagde attack 
kan hij niet alleen de bcrichteii onge- 
merki aflihsteren, maar ze (H>k mani- 
puieren zonder dal dc twee systemen 
dat merken. Deze aanval is alleen 
mogelijk bij bepaalde routingproto- 
coHen zonder vetligc aulhenticatie- 
algoritmen. 

Rogue-servers opzetten: een rogue-ser¬ 
ver is een systeem dal onbekend is 
bij de IT-beheerder en dat de taken 
overneemt van een geoorloofd sys- 
teeni. Zo zorgt een rogue-DHCP-ser¬ 
ver ervcK^r dat hij en niet de "echte" 
DHCP-servc r de TP-adressen toekenl 
in een netwerk. Aangczicn de client 
bij een Dl iCP-aanvraag ook meteen 
gernformeerd wordt over de stan- 
daard gateway (default gateway), kan 
op deze manicr cen Man in the Mid¬ 
dle-attack voorbereid worden. 


Van deze strategicen heeft de Man in 
the Middle-attack de grootste impact, 
omdat deze meestal onopgemerkt blijfl. 
Een klassiek vtxjrbceld: dixn het verstu- 
rcn van gemanipuleerde ICMP-redirect- 
pakketten kan een aanvaller het gegc- 
vensverkeer van een l^epaald systeem 
omleiden over zijn eigen pc* ongeacht 
het besturifigssysleem. Nomiaal gezien 
verstuteri routers dit mkwi pakketten om 
ctrmputerK te tnformeren over "betere’ 
routes naar andere systemen, routers 
vcrwerkeii ICMP-iedireels dus niet zelf, 
Om zo’n aanval Ic verhinderen, kun je 
(en mcxrt Je eigenlijk) de vei'werking van 
ICMP-red inect-pakketten u ilschakclen, 
Ook iict ICMP Router Discovery 
Pn)li>col (IRDP; RFC 1256) is gevoefig. 
Een aanvaller kan ICMF muter adverti- 
sement-pakketten versturen, waarmce 
hi] de standaard gateway op a lie syste¬ 
men van een subnet bepaalt. Aungezien 
bij IDRP dc rt>utcrs op gezette tijdstip- 
]-K;n informatie toesturen aan alle hosts 
op het subnet over het IP-adres van de 
standiUird gateway cn hcl proltKxil geen 
enkclc uuthenticatjemogelijkheid biedt, 
is het mlatief simpel om cen dcrgelijke 
aanval uit te vocren, Andere pn)Eocoilen 
gebruiken, zoals HSRP (het Hot Stand¬ 
by Router Protocol) of VKRP (het Vir¬ 
tual Router Redundaucy ProU>col), is 
dus geen overbtxlige luxe! Maar ook 
met virtuele private LAN’s (VLAN’s, 
zie beneden) kun jc dit siK>rl aanvallen 
voorkomcn. 


no 
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HSRP- en VRRP-routing 
manipuleren 

Maar helaas hebb^n ook deze proto¬ 
col len ecn achillcshiel, Bij Cisco’s 
HSRP bijvoorbeeld heeft een groep 
routers sJechts een (virtiieel) IP-adres 
en een MAC-adrcs; bcidc adrcsscn 
woideri in beslag geiiomen door de 
router die op dat mometit actief is. Als 
de acticvc router uilvalt, neemt cen 
stand-by-router de adressen over en 
zorgt er zo voor dat het gegevensver- 
kecr problccmloos doorgaat, 0e bc- 
heerder bepaalt door het vastlcggen 
van de I ISRP-prioriteit op de systemen 
wclkc de acticvc en wclkc dc stand-by“ 
router is. 

Als twee routers dezelfde prionteit 
hebben, wordt de router met het hoog- 
stc IP-adrcs gckozcn. Dc routers wis- 
selen de prioriteitsinformat ie uit door 
middel van zogeheten helo-messages. 
Ecn aanvaller kan mi helo-messages 
versturen met een zeer hoge HSRP- 
prioriteit (255) en er zo voor zorgen 
dal zijn systeem de actieve router 
wordt. Alle data uii een bepaakl subnet 
worden vanaf dat moment naar liet 
systeern van de aanvaller gestuurd. Dat 
kan de data arwij/cn, wal een DoS ten 
gevolge zou hebben, of de gegevens 
doorsturen naar een stand-by-router 
(Man in the Middle-attack), In dtl 
geval is er geen sprake van een vol- 
waardige Man in the Middle-attack, 
want de data die binncnkomt bij de 
stand-by-router wordt direct doorge- 
stuurd naar de systemen. 

Bovendien moel de aanvaller deel 
uitmaken van het 1 ok ale netwerk om 
een dergelijke aanval te kiinnen uitvoe- 
ren, omdat de huidige general ie routers 


allcen pakkcllcn verwerkt met het mul¬ 
ticast-doe lad res 224.0.0,2. Oudere im- 
plementaties van het protocol kunnen 
nog overweg met unicasL-pakketten. 
Daarmee is bet zelf's niogelijk een 
DoS-aanval uit te voeren van buiten 
hcL subnet, door bcio-messages met 
een vals rP-adi'e.s te versturen. Dc sys¬ 
teem beheerder kan bovenstaande aan- 
vallcn vrij gemakkelijk vcrhindcren 
door de deelnemende routers een we- 
demjdse MD5-authenticatieprocedure 
tc lalcn doorlopcn. 

Een vergelijkbaar problcem duel 
zich voor bi j het VRRP-protocoL Ook 
bier bestaat er cen virtuccl TP-adres 
voor een groep routers, waarbij de ac¬ 
tieve router (master) het desbetreffende 
adres in gebniik heeft. Bij VRRP wis- 
selen de deelnemende systemen ondcr- 
ling geen helo-messages uit, maar ver- 
stuurt de master-router alleen periodiek 
zogcnaamde advertisement messages 
met een bepaalde prioriteit. Als ecu 
backup-router denkt dat de master 
down is, stuurt hij zelf een advertise¬ 
ment message met een eigen prioriteit, 
Om master-router en de nieuwe stan- 
daard gateway van het subnet te wor¬ 
den, moel een aanvaller /ulkc messa¬ 
ges (met een prioriteit van 255) met 
een lioger IF-adres versturen dan de 
oorspronkclijke master, 

Een voorwaarde is daarvoor wel dat 
de beheerder bij de VRRP-configuratie 
geen IP-address-owncr gcdcnnicerd 
heeft, dus dat hij vergeten is het viitue- 
le IP-adres direct op de interface van 
de master-router tc conllgurcrcn, An¬ 
ders bli jft ook de nu als back-up func- 
tionerende router met zijn MAC-adres 
antwoorden op ARP-requests aan zijn 
IP-adres. 

In dat geval zou een aanvaller niet 
alleen gemanipuleerde advertiseniem 


messages moeten versturen, maar zou 
hij {)ok zijn MAC-adres mocien veran- 
deren en er via ARP-spoofing (zie be- 
neden) voor moeten zorgen dat dil 
adres bij de nodige hosts gepropageerd 
wordt. VRRP kun je veilig configure- 
ren als je cen TP-address-owner defini- 
eert, het IP-adres van dc back-upn)uter 
lager instelt dan dat van de master-rou¬ 
ter en Access Control Lists (ACL’s) 
defmieerL voor de VRRP-advertise¬ 
ment-pakket ten. 

IP-misbruIk voorkomen 

Behai ve de hierboven beschreven 
zwiikke plekken in routingprotocollen 
kimncn ook slecht geconfigiireerde 
switches een veiligheidsrisico vonneii. 
Het Spanning Tree Protocol (STP) is 
hiej- de zwarte piet, STP wordt ge- 
bruikt om op Ethertietniveau automa- 
tisch meerdere redundante switches met 
elkaar te verbinden. STP berekent de 
netwerktopologie opnieuw als een ver- 
hinding ol'switch is uitgevallcn, Omdat 
die berekening 30 tot 45 seconden in 
beslag neetnt, kan een aanvaller over 
een Ian gore pcritKle spccialc bcrichLcn 
versturen (zogeiiaamde BPDU’s), Zo 
wordt het systeem gedwongen om de 
topologic steeds opnieuw tc berckenen 
en is er sprake van een DoS. 

Om dit soort aanval len te voorko¬ 
men, is het verstandig op al je syste- 
inen de BPDU Guard- of BPDU Root 
Cuard-functies te activeren, BPDU 
Guard sluit een poort af als hij over 
deze interface een BPDU-pakket ont- 
vangt: deze tool moet dan ook defini- 
lies hebben voor alle poorten waarop 
geen switch is aangeslolen. BPDU 
Root Guard deactiveert een poori als 
deze interface als Root Port is geko- 
zen, en moel derhalvc op alle ptM>rLen 
gedefinieerd zijn waarop switches aan- 
gesloten zijn die niet ais root-bridge 
mocLen funclioncren. De root-bridge is 
de switch met de hoogste bridge-prio- 
riteit. 

Met de BPDU-Guard- en BFDU- 
Root-Guard-ftinclies kun jc verhindc- 
ren dat een aanvaller toegang krijgt tot 
hcL netwerk of een Man in the Middle- 
attack uitv«>ert, Een aanvaller hoeft 
echter niet ahijd de hele gegevens- 
stroom van een netwerk om te leiden; 
vaak volsLaat het om de lokale switch 
te veranderen in een hub om toegang 
te krijgen tot belangrijke informatie. 
Zorn verandering is relaticC gemakke¬ 
lijk door te voeren met een MAC- 
flooding-aanval (zie woordenlijst). 


Jl-TRACT 

• Verbindingen met vreemde netwerken worden door beheerders in 
het a]gemeen goed beveiligd, moor de beveiliging von de commu- 
nicatie op bet interne netwerk wordt nogal eens verwaarloosd. Met 
name de onderste layers van het ISO/OSl-model, de lagan 2 en 3, 
zijn in de regal niet goed bescharmd, en kunnen allerlej aanvallen 
te verduren krijgen. 

• Met een zorgvuldig uitgevoerde configurotle van switches en 
routers is al een minimale beveiliging in te stellen. Daorvoor is wei 
kennis nodig over de mogelijke doelwitten in het systeem en de 
soorten aanvallen die verwacht kunnen worden. 

• Het opzetten van een VLAN is een efficient middel tegen aanval- 
len. Als dat niet volstaat, moeten er extra toegangsbeperkingen 
ingesteld worden. 
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KHOWIiOW 


Netwerkbeveiliging 


Woordenlijsf 


ARP: Address Resolution Protocol 
ARP-spoofing: hct vcrsturcn van 
ARP-pakketten met een vervalst 
MAC-adres. 

ARP-poisoning: hei manipulcrco 
van dc ARP-cache van systemen (zie 
ARP-spoofing), 

BPDU: (Bridge Prolocol Data Uriit)» 
mcssagc-iype van hct Spanning- 
Tree-protocol. 

DHCP: (Dynanhc Host Configiira- 
tion Protocol), via dit prtitocol vraagt 
een systeem dat net op liet netwerk 
aangesloten is, aan de DHCP-scrver 
om een IP-adres. 

HSRP: (Hot Stand-by Router Proto¬ 
col); een proprietair protocol, ont- 
wikkcld d(K)r Cisco. Hct vcrgroot de 
beschikbaarheid van belangrijke ga¬ 
teways in het lokale netwerk. 

ICMP: (Internet Control Message 
Protocol), maakt gebiuik van het In¬ 
ternet Protocol (TP) eo dient voor de 
overdracht van ibulmeldingcn cn sta- 
lusinfonTiatie bij routing. 
ICMP-redlrect: Door bet versturen 


Veel switches zijn inmiddels al immu- 
Lin voor dit soorl aanvallcn, want zc 
dctccteren flooding en Icren dan gedU’ 
rende een bepaalde tijdsperiode goen 
nieuwe MAC-adressen mecr. Dal kan 
by hcrhaald oplredcn wcl wcer Icidcn 
tot een blokkade van het hele neiwerk- 
verkeer (denial-of-service). 

Handmafig poorten 
toewi|zen 

Een zeer effectieve, niaar oin te be- 
licrcn nogal verveIcndc bcschcrmiiig 
tegen MAC-flooding vormf zogeheten 
'poit security". Daarbij krijgt iedere 
poorl op cen switch een vast MAC- 
adres toegewezen. Als er een systeeni 
wordt aangesloten dat niet bet juiste 
MAC-adres bezit. dan wordt dc poort 
automatisch weer gesloten en worden 
de pakketten die met een verkeerd 
MAC-adres bij de switch aankomen 
weggegooid. Daarnaast beschik je met 
dit procede over een beperkte authenti- 
catiemogeljJ kheid van de netwerks ys- 
icmen aan de hand van bun MAC- 
adressen, 

Afliankeiijk van de instellingen van 
dc switch kun je bij de ontvangst van 
valse MAC-adressen een poort perma¬ 
nent sluiten of hem voor een bepaalde 
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van ICMP-redirect-pakkeKcn kunnen 
routers ontvangende systemen wijzen 
op veranderingen in de routing. Op 
basis van de informatie over opval- 
Jentl efficiente of inefticiente routing 
kan het systeem andere routers kie- 
zen* 

IRDP: (ICMP Router Discovery Pro¬ 
tocol), via TRDP kunnen eindsyste- 
men discovery-meldingeii verzenden 
CO zc krijgen dan aiitwt>ord van alle 
routers. Zo kan een systeem een staii- 
daard gateway zoeken* 

MAC-adres: unjek fysiek adres ver- 
bonden aan elk stuk netwerk hardwa¬ 
re 

MAC-Floodiiig-aanval: de Content 
Addressable Memory table (CAM) 
van een switch overspoelen met valse 
MAC-adres sen. 

VRRF: (Virtual Router Redundancy 
Protocol), net als bij HSRP zorgen 
meerdere redundante routers, die in 
een logische groep zijn onderge- 
bracht, voor meer veiligheid als er 
een router uilvalL 


lijd dichlgooicn (violation shutdown). 
Je kunt ook alleen 'valse" pakketten 
laten wegfilteren (violation restrict). 
Het voordeel van een permaneiile shut¬ 
down is dat je als netwerkbeheerder at¬ 
tacks en andere problemen (bijvoor- 
beeld systemen die van slag raken) 
aanzienlijk sneller herkent, omdat de 
verantwoordelijken voor bet systeem 
of de medewerkers persoonlijk contact 
mocten opnemen om dc zaak wcer tc 
laten lopen. 

Om niet iedere poort van een switch 
van een s tali sc h MAC-adres tc hoeven 
voor/Jen, kun je een switch het MAC- 
adres 'aanleren\ Bij normaai gebniik 
van een switch gebeiirt dit naLuurlijk 
ook, aliecn wordt hct onihoudcn adres 
normaai slechts opgeslagen cot aan de 
volgende reboot. GcgevcnspakkcLLcn 
met andere MAC-adressen ver(K)r/a- 
ken een shutdown of worden weggefib 
terd. Bovendien zijn er switches waar- 
mec je slechts 66i\ MAC-adres per 
switclipoort kunt toestaan. Zo worden 
MAC-flood ing-aanval len voorktjmcn 
cn heb je nog steeds d c mogclijkhcid 
andere apparaten aan te sluiten op de 
switchpctoiL. 

Om cen gcautoriseerd systeem aan 
te sluiten op de switchpoort wordt 
doorgaans het 802.lx-protocol ge- 
bruikt. Dit protocol activeert dc 


switchpoort pas als bet aangesloten 
systeem zich correct geauthenticeerd 
heeft, cn daaibij zijn diverse authenti- 
cat icmcch an i s men mogel ijk. 

Als een aanvaller de gegevens- 
stroom tussen twee systemen wi) om- 
leiden via zijn eigen computer, dan kan 
hij een heel eind konien met ARP- 
spoofing (ook wel ARP-poisoning ge- 
m>emd). Hct Address Resolution Pro¬ 
tocol (ARP) zorgt ervoor dat compu¬ 
ters op een netwerk het MAC-adres 
kunnen vinden dat bij cen IP-adres 
hoort. Deze gegevens worden bewaard 
in de zogenaamde ARP-cache* Met hct 
commando ‘arp -a" kun je op je com¬ 
puter opvragen wat hierin staat. Omdat 
het protocol niet is beveiligd, kunnen 
derden op een belaagd systeem cen- 
voudig zellbedachte adressen claimen 
door gemanipuleerde messages te ver¬ 
sturen. Omdat adressering binnen een 
LAN gcbcurt op basis van het MAC- 
adres, worden de datapakketten dan 
onbewust naar het verkeerde systeem 
gestuurd. Hel is met ARP-spoof mg 
zelfs mogel ijk de standaard gateway in 
de ARP-cache van de systemen van 
cen subnet tc veranderen. 

Er bestaaii oplossingen tegen ARP- 
spoofing; iiaast het gebruik van moni¬ 
tor ingtools als arpwatch en Snort kun 
je private VLAN’s opzetten of gebruik 
maken van speciale switches. Zulke 
switches onderzocken ARP-pakkellen 
aan de hand van ACL's, Omdat dit een 
behoorijjk intensieve operatic is, is het 
raadzaam dit te beperken tot dc syste¬ 
men die echt goed beschermd moeten 
worden 

Afbakening van 
kritische systemen 

Veel netwerkbeheerders maken al 
gebruik van virtuele LAN’s ofwel 
VLAN’s in hun netwerk. Met VLAN’s 
is het mogel ijk oni netwerkcomponen- 
ten logisch te groeperen, ongeacht liun 
fysicke locatic. Met versehillende swit¬ 
ches zijn versehillende types VLAN te 
creeren, die op hun beiirt weer ver- 
schillcnde beveiligingsopties bieden. 
Met hel gebruik van private Vl.ANLs 
is het mogeljjk om communicatie tus¬ 
sen bepaalde componenten (switch- 
poorten) binnen zo’n virtueel netwerk 
te verbieden. Hienoe wordt het eigen- 
lijkc (piimajic) v^LAN upgcspliLst in 
zogeheten 'isolatedports’, ""community 
portsL 'two-way community ports’ 
(die samen het secimdairc VLAN vor- 
mcn) cn 'promiscuous ports’. Zo kan 
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Community Ports in VLAN 2S2 



Promiscuous iftt 
Router 


Seooj'loofde communicoiie 


Client Client 


Swit(h 



Oeoorloofde communicotie 


PromiscuouslW' 
Router C 


Community Ports in VLAN 252 
Client A heeft een hosf-route Client D heeft geen 


^ ^ Client Ser^r ^ ► 

OngeooHoofde commonicatidsoloted Bn in VJ^N m Isoloted irt in Vi^N 151 Ongeoorloofde communicotie 


Sener B 

Isolated Bn in VI^N 151 


Aangezien de communicatie bij hef opzeften van een VLAN 
aan bepaalde regels gebonden wordr, kunnen bepaalde 
s/stemen — in dit geval dienf en server — tiiet meer direct met 
elkaar communiceren. Op deze manier worden Man4i>the^ 
Middle^attacks voorkomen (afbeelding 1], 


Met een aanval via intra-subnetrouting kunnen 
commyntcatierestriclies omzeild worden: via een host- 
route kon client A toegang kri jgen tot server B, client 0 
heeft doarentegen geen ongeoorloofde verbinding 
(afbeelding 2)* 


het primaire VI^AN 5 1 bijvoorbeeld op- 
gedeeld worden in de secuncinire VLA¬ 
N's 151 (voor isolated pom) en 251 
(voor community ports). Dit is schema- 
tisch weergegeven in afbeelding 1, De 
communicaiie lussen deze verbindingen 
is ge<.x>rk>ol'd als aan de volgende regels 
word! voldaan: 

- promiscuiiuK ports mogcn met allc 
componenten binnen een primair 
VLAN comniuniceren; 

- isolated ports kunnen alleen communi- 
ceirn met cen promiscuous port; 

- community poits niogen cortimunice- 
ten met promiscuous pi>rts en alle 
poorten van dezelPdc community. 

Routers, firewalls en vergelijkbare 
componenten moctcn dus altijd aange- 
sloten zijn op een promiscuous port. 
Community ports zijn geschikt om af- 
zonderlijkc syslcemgrocpcn samcn le 
voegen die met elkaar moeten commu- 
nlceren. Op isolated ports kun je alleen 
systemen aansluiten die in principe via 
een router of een firewall communiceren 
(bijvoorbeeld speciale sci-vers of client- 
systemeii). 

De beperkingen die een VI^AN met 
zich meebrengt* zijn gedeeltelijk te om- 
zeilen door middel van het zogeheten 
intra-subnetrouting (zie afbeelding 2). 
Als client A (community port) bijvoor¬ 
beeld direct met server B (isolated port) 
wil communiceren, wat hij volgens de 
comniunicatieregels eigenlijk niet mag, 
dan kun je op client A een route {naar 
server B) invoeren, die via een promis¬ 
cuous port gaat op een router (C). Client 


A verstuurt zijn gegevens via deze route 
eerst naai^ C, die de data vervolgens 
weer doorstuurt naar server B, Aange¬ 
zien VLAN’s op ISO/OSl-laycr 2 en 
niei op layer 3 werken, is zo’n host-rou- 
ter-hosl coniniunicalie gewoon moge- 
lijk. 

Toegang alleen na 
confrole 

Om le voorkonien dat menseii op 
deze manier cen versperde verbinding 
omzeilen, kun je zogenaamde VLAN 
Access Control Lists (oftewel VLAJM- 
ACL's of VACL's) gebruiken, of op de 
router ‘normale’ Access Control Lists 
defmieren. Net zoals normaJe ACL’s de 
1 P-gegcven,sslrtK)m kunnen I’lUercn, 
kunnen VACL’s de communicatie tus- 
sen afzonderlijke VLAN’s ftlteren. Aan¬ 
gezien VACL's in dc hardware van de 
switch ('Wired Speed') verwerkt zijn, 
hebben ze in tegenstelling tot router- 
ACL’s geen negatieve itivltied op de 
perfonnance. Keerzijde van de medaille 
is dat VACL’s alleen ondersteund wor- 
deu op bepaalde mixlellen van een 
handvol switchfabrikanten, 

Als Je VACL's samen met private 
VLAN's gebmikl, dan liebben die ver- 
schillende uitwerkingen op de primaire 
en de secundaire VI AN's. VACL's van 
de primaine VLAN filieren data die af- 
komstig zijn van dc promiscuous port, 
VACL's van het secundaire VI.AN fib 
teren gegevens die van isolated en com¬ 
munity ports komcn. Dat betekeuL dat 
V ACL's de hele weg van het gegevens- 


verkcer controlemn, van dc host naar de 
switchpoort. 

VACL's zijn krachfige tools om de 
communicatie binnen een nelwerk te be- 
heren. Vex^rwaarde is wel dal dc sys- 
teembeheerders precies weteii welke 
systemen met elkaar rnogen corrmiuni- 
ceren. Met zulkc toegangscontrolelijs- 
ten kunnen aanvalten via intra-subnet¬ 
routing verhinderd worden 

Samenvatting 

Er bestaan al met al een hoop ver- 
schillende aanvalsvonnen op de lagen 2 
en 3, waarmcc dc gegevcnsslr(K)ni bin¬ 
nen een netwerk omgeleid kan worden. 
Als je je gegevens globaal tegen aanval- 
len wilt beschermeii, moelje bij de com- 
miinicatie tussen verschillende compo¬ 
nenten altijd een veilige versleutelings- 
melhodc gebruiken. Ben belrouwbare 
authenticatie van het partnersysteem is 
hierbij van gioot belang. 

Om ervoor te zorgen dat een net¬ 
werk beheerder bij het opzetten van bc- 
veiligingsmechanismen ro weinig mo- 
gelijk mmpslomp heeft, is het handig als 
hij zich vooral kan conccntrercn (ip dc 
systemen die dttarin de hoogste mate 
van bescherming nodig hebben. Ook 
een goed opgczcLtc logging- cn repor- 
tingprocedure helpt om de meeste be- 
kende aanvallen tijdig te ontdekken. 

jORN MAIER 

is securily consullani bij HiSolutbns rn Berlijn. 
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Beveiliging van besturings- 
systemen met SELinux 

Zelfs root 
mag niks 

Kaspar Brand, 

Pieter-Paul Spiertz 

Sinds Fedora Core 3 activeert Red Hat 
standaard de SELinux-extensie. Bij normaal 
gebruik volt dat niet zo op, maar het is nuttig 
om er lets van te weten voor het geval het 
systeem ondanks alles toch eens moeilijk doet. 


I ti (icccmber 2(KX> hecH 
de Amerikaanse veiiig- 
heidsdieiist NSA de eer- 
sle versie van SELinux (Se¬ 
curity Enhanced Linux) vrij- 
gegeven. Het doel ervan was 
om hel besluringssyslecm te 
voorzien van een veiliger 
sooit rechtenbeheer. Sinds 
2003 is de extcnsie gcmle- 
greerd in de officiele l.inux 
2.6-kernel. 

Maar lang niel alle 
Linux-distrihuties bebben de 
moeite genomen om bun 
pakketten aan SELinux mm 
te passen. De beste onder- 
steuning is te vinden bij Red 
Hat. Al sinds Fedora Core 2 
en Red Hat Enterprise Linux 
(RHBI.) 4 Worden alle beno- 
dtgde componenten meege- 
levcrd. Debian streeft emaar 
om SELinux in de volgende 
stable-release (‘etch’) te in- 
legrcrcn; in Debian unstable 
(‘sid’) zijn de nodige pak- 
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ketten al bescbikbaar. Bij 
Suse en Mandriva is de 
status onduidelijk; de ker¬ 
nels ondersteunen SELinux 
meestal wel, maar de uscr- 
land-pakketten onlbrcken. 
Suse lijkt bovendien in 
plaats van SELinux te kie- 
zen voor het vergelijkbare, 
maar lets eenvoudigere 
App Armor* Voor andere 
distribulies, zoals Gentoo 
Hardened of Ubuntu is SE- 
l/mux beschikbaar als zelf- 
boiiwpakkeL De website 
‘SELinux for Distributions’ 
LI] assisteert je hierbij. Hoe- 
wel dit artikel zich vooma- 
melijk riehl op Red Hat, 
gekJt bet principe voor alle 
SELinux-systemen. 

Domeinen, types 
en policy's 

Bij klassieke Unix-sys- 
temcn wordl bet aspect 
veiligheid geregeld via 
gebruikersrechten* Of een 
gebruiker bijvoorbccid toe- 
gang beeft tot bestanden en 
devices, is daarbij afhanke- 
lijk van de rechten die dc 
gebruiker of eigenaar van 
een object beeft. Dit wordt 
ook wcl Discretionary 
Access C’ontrol of DAC ge- 
noemd. SELinux voegt aan 
deze ebique term cen nieuw 
begrip toe, namelijk de zo- 
geheten policy* Hiermee 
wottlt vastgelegd welke sys- 
Iccmoperatics LoegesLaan of 
juist verboden zijn, Aan de 
policy moeten alle program- 
ma’s zich houden. Dat 
word! geconlroleerd door 
een security server in de 
kernel. Deze aanpak hcet 
(wk wel Mandatory Access 
Control (MAC). 

Het vciligheidsniveau van 
een SELinux-sysieem met 
een slechi ingestelde policy 
komt in het ergstc geval dus 
overeen met de standaard 
DAC-toestand - veiligheids- 
galen in de SELinux-imple- 
mentatic buiten beschou- 
wing gelaten. 

Voor SELinux zijn de 
pakketten libselinux en poli- 
cycoreufils nodig en enkele 
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^-TRACT 

• SELinux wordf sleeds meer gemeengoed: deze kernel- 
extensie is in Fedora Core 3 en Red Hat Enterprise 
Mnux 4 standoard geoctiveerd. 

• Bij r^ormoal gebruik blijft de fargeted-policy voor de 
systeembeheerder tronsparant, de bescherming blijft 
beperkt tot geselecteerde doemons, 

• Het configureren van een policy is een complex 
waagstuk, aongezien de documentotie nog veel 
leemtes bevat. 


aanpassin^en in belangrijke 
prograinma’s die onderdcci 
yitmaken van pakketten als 
sysvinii^ pam, uiil-Unux^ 
openssh^ vixie-cron en core- 
utiis. 

In SCLinux heeft elk pro- 
CCS een tltimctn- BIk object 
dat door een proces gebruikt 
kail worden, zoals een be- 
stand, socket of named pipe, 
heeft cen type. Domcinen 
zijn eigenlijk een subset van 
lypcn, want cen proces kan 
ook een object zijn (bijvoor- 
beeid bij het zenden van cen 
signaal aan een proces). Nog 
algemener: elk proces of rsb- 
ject in het systeem heeft cen 
zogcnaamde secnnly con¬ 
text^ ook wel label genoemd. 
Aan de hand van zo'n label 
beslist de security server in 
de kernel of een bcpaalde 
toegang wordf verlecnd (/.ic 
afbeelding 1), Het label 
heeft drie compoiienten: een 
identiteii, een rol en hot do- 
mein of type. In de praktijk 
zicl cen label er uiL als een 
string, btjvcKirbeeld identi¬ 
ty .rule :£lomain of identity: 
role:type. (Overigens komt 
er in Fedora Core 5, ver- 
wacht in maart, een nieuwe 
policy genaamd MCS, waar- 
bij dit zelfs nog uilgebreid 


wordt tot identity:role.^do- 
mai n :le vel .categories.) 

Zoals in listing 1 is Ic /den, 
zijn labels met gangharc 
tools zichtbaar door de optie 
-Z te gebruiken. 

We gaan even dc dric on- 
derdelen van zo'n label 
langs, Berst de identiteil. In 
de praktijk deflnicert cen 
SELinux-policy mecstal 
sIcchLs dric identiieiten, sys¬ 
tem _tt {V 0 ( >r sy s teem pro - 
gramma's), user jj (voor ge- 
biuikcrs zondcr privileges) 
cn root (dc beheerder). Maitr 
je kiint in theorie voor elke 
Unix-gebruiker een eigen 
identiteil definieren. Onder 
SELinux bezit zelfs root niet 
automatisch oiibeperkte toe- 
gang: (K>k voor root gelden 
de regels uit de policy. Bij 
demons!raties van SELinux 
zie jc daarom vaak een 
rootshell waarvan het do- 
mein iiser_i is, waarmee je 
dus geen schade kunt aan- 
richten. Russell Coker hccfl 
zelfs een SELinux-machine 
aan het internet gehangen 
waar iederecn met ssh als 
root op mag inloggen, want 
je kunt toch niets |4L De 
true is uiteraard dat root op 
zulke machines een sterk be- 
perkte security context heeft. 


Essentieel is namelijk in 
welke n>! en in wclk domcin 
een proces of een gebruiker 
zich bevindt, Een typische 
SELinux-policy gebruikt 
vier of vijf rollen voor pro- 
cessen: sys(etn_r, W5cr_r, 
staff_r\ sysadm_r cn .vc- 
cadm_r. Bij de strict-pt>licy 
is de sysaiim_rro] bijvoor- 
beeld nodig <im cen nieuwe 
policy te laden. Ook gebrui- 
kers bezitten een rol. Ze 
kunnen cxplicict van rol 
wisselen met de opdracht 
newrole. of impliciet als een 
programma daarvoor is aan- 
gepast. Op een Red Hat-sys- 
teem verandert het com¬ 
mando .m bijvotirbeeld au¬ 
tomat i sc h de rol in sys- 
adm_r en het domein in sys- 
admj. Dc identiteit blijft 
ongewijzigd. Als nmt wer- 
ken op een normaal Red 
Hat-sysleeTTi met SELinux 
is dus niet mocilijker dan 
normaal. 

De derde en laatste com- 
poncnl van cen label is het 
domein of type als het om 
cen object gaat. Elk proces 
loopt in cen domein, zo 
loopt init bijvoorbeeld in het 
domein init_t en named In 
named_t. Het default-do- 
mein is op Red Hat unronfi- 
ned_i\ dit kent geen beper- 
kingen. He! programma 
/tisr/shin/named hccfl ver- 
der het type named_exe€_t^ 
in de policy is hier een do¬ 
me inovergang voor gcdcH- 
nieerd. Het domein is voor 
de policy de belangrijkste 
component van elk labcL 
Staat er namelijk geen regel 
in de policy die een subject 
uit domein X tocslaal om 
het object van type Y te 
lezen, dan kun Je zelfs de 
machligste rol hebben. maar 
de security server verbiedt 
de operatic, Bij de targeted- 
policy van Red Hat Irccdt 
dit effect alleen op bij dae¬ 
mons die in liun eigen do- 
mein draaicn (het default- 
do me in unconfined^T kent 
geen beperkingen), mnar bij 
cen systeem met de strict- 
policy is dit probiccm aan 
de orde van de dag. 


De praktijic 

Bij het booten haalt 
Linux de gewenste SBLi- 
nux-conllguratic uit het be- 
stand fetc/selhiux/config, en 
dan met name uit de varia- 
belcn SEUm/X en SELE 
NUXTVPE. De eerste be- 
paalt of SELinux actief is 
{SEUNlJX=enforcing), of 
er bij policy-schendingen al¬ 
leen waarschuw ingen gege- 
ven wtjrden (SEUNUX- 
permis.dve) of dat de hele 
extensie helemaal niets doet 
(SEUNUX=disahled). Deze 
laatste twee optics werken 
ecliter alleen bij een kennel 
die met dc optics SECURl- 
TY_SEUNUX_DEVELOP 
of SECURITY_SEUNUX_ 
DISABLE is gecompileerd. 
Op een .systeem met cx- 
treein hoge veiligheidseisen 
boon dat niet het geval te 
zijn, rnauT bij Red Hat is 
SELinux gelukkig uit te zet- 
ten, al was het maar om het 
zoeken naar fouten te verge- 
makkelijken, 

De tweede optie SEU- 
NIIXTYPE geeft de gewens¬ 
te policy aan. Bij Fedora 
kun je hier de optics targe¬ 
ted e n strict k i eze n, bij 
RHFL4 alleen targeted. Er 
is in SELinux een voor- 
liecldpolicy van de NSA be- 
schikhaar (strict go he ten), 
die het principe van "default 
deny' volgl: alles wat niet 
expliciel door cen regel is 
toegestaan, is verboden. TiJ- 
dens de onlwikkeling van 
Fetltira Coro 2 merkte Red 
Hat echter a I snel dat die 
aanpak veel te radicaal was 
voor cen praktisch beslu- 
riugssysteem met een rijk 


listing 3: rasuHnttf 
vnn sestoHrs 

t /usr/sbin/KiUtm 
SEiinui smut: tnafaUd 
SELintiiU iQunt: /selinuK 
ttirrent mile: tnUrcinj 
nditf fnsi ^onfig fUt; 

Fclicif firsicn.; II 
Pfllicif ffji c»ntU fUf: tjrgftcil 
foliq bsleans: 
illsnjpynd letive 
dhtpd.disablejniii Iftattive 
httpdJisablMrani inactive 
buprenible tgl lUivc 
[,..3 


Listing 1: de optie foonl de security confext 

Ml -M 

Lieei 

m 

m TINE 

m 

syitfijuifsuijiiiiilu 
f h -1 /eteishjdf^ir 

1 


init 

-r- - 

1 fd -1 

raat 

sf iteij : ^^b j e £ t_f * s bidpii_t 


roctisjfsadi r;sj^sadi t 
# pi -I » 
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Access Check 
(SID, SID, Perms) 


AVC 


Afbeelding 1; De security server van SELinyx bestist op basis van de policy 
of eeti subject (client met security identifier C) toegang Icrijgt tot een object 
met een ondere security context. De Access Vector Cache (AVC) versnelt dit 
proces. 


Access‘Query 


Access I Ruling 
- 1- 


Enforcement | Policy 


Security Server 


SID/Context 

Mop 


Policy logic 
^ Access Rules ^ 


labels in het bestandssys- 
leem in de vorm van een ex¬ 
tended allribuut (xaitr) met 
het kciimerk .^ecurityseli- 
niLx. Dit wordt inlusscn on- 
derstcund door cxt2, ext3, 
XFSJFS cn ReiserFS. 

Fouten zoeken: 
labels en 
booleans 


softwareaanbud. De policy 
word veel te grtx>i en com¬ 
plex en was nauwelijks nog 
te over^ien. De ontwikkc- 
laars bcslotcn daamm om 
naast de vtx)rbeeldpolicy 
ook een ruimcrc policy aan 
le bicdcn, waarbij alleen de 
aan gevaar blootgestelde 
daemons in een eigen SBLi- 
nux-domcin draaien, zoals 
Apache, syslog en bind. De 
rest draait in hel dome in un- 
€(mj}ned_i\ Processen bin- 
nen unconfnted_f gedragen 
zich alsof SBLinux helc- 
maal nict aanwczig is, 

De twee policies ver- 
schillen aanzicnlijk in um- 
vang cn complex itcit. BiJ 
Fedora Core 4 omvat de 
standaard /rtrge/e# policy 
ruim 750 domcinen cn circa 
14.600 ailow-regels. Bij de 
A/ncr-variant zijn dat zelfs 
1300 domeinen cn 39.000 
allow-rcgcis (zie label), 
Zo'n policy is dus een inge^ 
wikkeld framework. Nicl 
vexir nieLs wordt het bcsland 
policy.conf eerst met de 
M4-ni<acroprix:essor gegc- 
ncrccrd nit honderden klei- 
ne bestanden en daarna 
door de tool chcckpolity gc- 
convcrlecrd naar hei door 
de kernel gewenste biiiairc 
formaat. Deze binary policy 
bcvindl zich in een subdi¬ 
rectory met de naam van de 
betreffende policy en heeft 
als exlen.sic de versie van 
hcl gebruikte formaat, bij- 
voorbeeId /etv/seiinux/tar- 
geted/polkj/policy.l9. Het 
aantal regels heeft door de 


Access Vector Cache 
(AVC) gelukkig weinig in- 
vloed op de performance. 
Dit is een cache lussen de 
security server en de object 
manager, die cen lijst bij- 
houdt van de meest aange- 
vraagde operaties en de be- 
oordeelde geldigheid. Op 
die manier wordt de securi¬ 
ty server outlast. De perfor¬ 
mance daalt naluurlijk wel 
bij gebRiik van SELinux. 
Find 2004 becijferdc een 
Red Hat-onlwikkelaar het 
prestatieverlies door SELi¬ 
nux op ongeveer zeven pro- 
cenL 

Tools en features 

Of een kernel SELinux 
ondereteunt is te zien in de 
/proc. SBLinux muakt hierin 
voor elk proces een subdi¬ 
rectory (Pfr aan, waarin in- 
formatic over de security 
context is opgeslagen. Ook 
mount het /^//-proces bij hcl 
bcxiten auU)matisch under 
/seliniLx een p.setido-rtlesys* 
tern, dat informal ie over de 
actucic sysicemtcxjstand 
geeft. Het commando sesia- 
tus maakt bier fraai gebruik 
van, /.oals Ic /.icn is in lis¬ 
ting 2. 

Als SELinux een operatic 
verbicdi, dan lugi dc securi¬ 
ty server dat. Dit gebeurt via 
syslog of met de dedicated 
audit-daemon {auditd vanaf 
Fedora Core 4), en het ziet 
er zo uit: 

jon 24 09:57:01 seltix brnelA 


au#|1124e70221.135:0): 
avc: denied ( geiotfr ) for pid“\ 

I 730 comm^hitpd 
path=/home/luieT/public_hlml/\ 
index.him! dev=dm-0 
ino=39688B scontexf“User_\ 
u:5yslem_r:hltpdj 
tcontexl=user_u:objecl_nuser_\ 
homej lclQss=fiIe 

In dit geval heeft bet 
Apache-proces met id 1730 
uit het domein hnpd_t gc- 
probcerd om de operatic 
geianr uit te voeren op het 
bestand index.html in de di¬ 
rectory van cen gehruiker. 
De policy verbiedt die actie, 
wanl daarin staal dat gege- 
vens van gebruikers niet 
zichtbaar mogen zijn op het 
web. Om ze toch voor Apa¬ 
che toegankelijk le maken 
moel de eigenaar met het 
chcon-commmdo {"change 
context) expliciet hcl label 
van de bestanden goed zet- 
ten: 

chcofl -R 4 htlpd_uier_contenij\ 
public_hlml 

De kernel bewaart deze 


Problemen mei SELinux 
ontslaan vaak dcxir verkeer- 
dc labels. Ben proces kan in 
hel verkeerde domein draai- 
en, cn dircclories cn Ix^slan- 
den kunnen nog niet voor- 
zien zijn van hci juislc label. 
Een oplossing wijst zich 
mcestal vanzelf aan de hand 
van de logfilcs (/var/logf 
messages of /var/log/audit/ 
audit Jog) en het controleren 
van de security context (ps - 
Z of is -Z). FouLieve labels 
kunnen met chcon -/ worden 
veranderd. 

Werkt cen programma 
dan nog nict, dan is de voL 
gende stap het controleren 
van dc zogenaamde pttlicy- 
boolcans, Dit zijn een soort 
.schiikelaars, waarmee hei 
gedrag van een pidicy dyna- 
niisch kan wt^rden aange- 
past. De beheerder kan op 
die manier bepiialde regels 
met een druk op de knop ac- 
tiveren of deactiveren. De 
targeted-policy van RHEL 4 
kent 20 van dcrgclijke bool- 
cans, waurvun er zes be- 


ONLINE BRONNEN 


SElinux-hofnepage w w w. n so, gov/s e I i n u x 

eVS-reposilory met cvs.sourcebrgo jei/viewcvs.py/ 

N 5A-voorheeldpolicy s e I i n u x/ n so/ se I (n u x u sr/ 

SELinu X for Distributions I i n ux. so u r ceforg e. n el 

SELinux Reference Policy (Tresys) serefpolicy.sourceforge.nel ' 
SELinux Policy Tools (Tresys) www tresys.com/selirrux/ 

selinux^policyjools.hlml 

SELinux Policy Tools (MITRE) www.milre.org/tech/selinux/seecfit 

Unoffidol SELinux FAQ www.crypt.gen.n 2 /selieux/fc 1 q.html 
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Grootte van typische SELinux-policies 
(policy.conf) 


NSAworbeeldpdicy (oerversie) 

december 2000 

domelnen 

2?7 

allow-re^els 

2.639 

NSA^orbeeldpolicy 1.0 

Mi 2003 

272 

3.680 

Fedoro Core 2 strict 

mei 2004 

1.245 

26i71 

Fedora Coro 3 strict 

oktobef 2004 

1207 

29,521 

Fedora Core 3 targotid 

oktobec 2004 

281 

1.719 

ItKEl 4 targeted 

inaart 2005 

317 

2.292 

Fedofo Cora 4 Torgetad 

mai 2005 

765 

M.6I9 

Fedora Coro 4 strk! 

mel 2005 

1,342 

39.013 

MSA^oorbeoldpdicy 1.24 strict 

pi 2005 

369 

S.812 

fJSA^wrtyaeWpoUty 1.24 lorgeiad 

lufii 2005 

760 

14.751 

Tresys Relereflce Pdiry (iypho) 

September 2005 

m 

22.147 


dtx:ld zijn votir Apache (met 
meer of nrindcr duidclijke 
beschrijvingen ats fmpd_ 
enahle_cgi of httpd_enable_ 
hornedirs). Ze zijn instcl- 
baar via een grafisch front- 
end (afbeclding 2)* maar net 
zc> gocd met he I commando 
setsehool, De huidige statys 
is op te vragen met geise- 
bool -a. 

A Is een programma ook 
na het aanpassen van deze 
booleans nog nicl wil wer- 
ken, moet misschien dc po¬ 
licy zelf worden gewijzigd* 
Voor de/c slap is we I vol- 
doende kenn is van hel hc- 
stxjringssysteem en het doel 
van de pt^licy zelf iiodig. 
Het gaal tc ver om de aan- 
pak hier hetemaal uit de 
doeken te doen, maar deze 
komt necr op het opzockcn 
van de policy-bronbestan- 
den, het analyseren van de 
avc-denied-Tcgch in de log- 
files (zie verdemp), het toe- 
voegen van regels iian het 
hesland iocaiJe eii hcL gene- 
reren en laden van een nieu- 
we policy met make had. 
Hci UJcvocgen van regels 
aan een geheel nienwe dae¬ 
mon maakt het geheel nog 
ci)mplexcr, waarbij soms 
ook een rebiK>l en een vollc- 
dige filesystem-relabeling 
nodig zijn, 

or SELinux zclf iiber- 
haupl de oorzaak van een 
probleem is, is vrij snel te 
zicn door het syslccm in de 
permissive-modus te zetten 
(met de aanname dat de ker¬ 
nel gecompileerd is met 
de optie SECURITY_SEU~ 
NUX_^DEVELOP): het com¬ 


mando selenforce 0 draag! 
SELinux op om alleen nog 
te waarschuwen bij p<)licy- 
schendingen. 

Als laaisie en nicest radi- 
cale mogelijkheid kun je 
tenslotte altijd nog bij het 
booten SELinux complcet 
uitzetten met de kcmclpara- 
meter seiinux^O (maar dan 
moet wel je kernel gecompi¬ 
leerd zijn met dc optic SE- 
CURITY_SELfNUX_BOOT- 
PARAM). 

Omdat hel syslecm zon- 
der SEI Jnux gecn corrcctc 
labels op het filesystem aan- 
maakt, is voor de volgende 
boot met SEUnux een rela¬ 
beling aan te bevelen. Op 
een Red HaLsysteeni gaat 
dat door voor hel reb<x>tcn 
he! commando much /mu!o- 
relabel te geven- Dat kan 
een paar minuten duren, 
vergelijkbaar met de tijd die 
nodig is voor een updaiedb. 

Bij het onderzocken van 
iivc-t^emW-meldingen in de 
logs kan ai4dit2allow goede 
diensten bcwijzcn. Dil is 
een Perl-script dat SELinux- 
logmeld ingen analyseert en 
naar allow-staicmenls con- 
verteert, die aan dc policy 
kunneii worden toegevoegd. 
In het eerder beschreven 
geval zou dc volgende rcgcl 
emit komen: 

ollow^ htlpdj usef_hofrieJ:fi!e 

taflr; 

Let Op bij regels die zo 
gegcncreerd worden, want 
soms zitten er te algemene 
regels bij, die de policy on- 
nt)dig wijd openzetten. 
Goed controleren is dus wel 


zo verstandig. Bij een langc 
reeks dezelfde regels kun- 
nen M4-macro’s de zaak 
bovendien vereenvoudigen: 

allow foo_1 prDc_hdir seorch; 
qIJow IooJ proO:{ file Inkjle ) 
rood; 

allow foo_l self:dir search; 
allow fooj self:fib ( geloHr read 
1 ; 

allow foo_t self:pfoces5 gelottr; 

uii dc Red Hut-policies kan 
korter en leesbaarder met 

con^getcortffoojj 

om een proees uit het do- 
meintoe te staan oni 
zijn eigen security context 
te lezen via /proc/self/attr/ 
currenf, 1 let lastige bij poli- 
cy-aanpassingen is dus niet 
alleen om te Ixislissen we ike 
operaties moeten worden 
u>cgcstaaii, maar ook om te 
kiezen wat dc mecst passco¬ 
de vorm is voor de verande- 
riug. 

Policies: volop in 
beweging 

Andere tools om een po¬ 
licy te onderzoeken zijn bij- 
voorbeeld seinfo (voor hcl 
tonen van policy-gegevens), 
xeaudtt (evalueren van log- 
fi les), sedijf ( verge! ij k e n 
twee policies) en apol (poli- 
cy-anafyse, zie afbeelding 
3), Deze programma’s uit 
het vaak al met SELinux 
ineege'i n st a I lee i de selools- 
pakket zijn al'komstig van 
de Amerikaanse SELinux- 
specialist Tresys Technolo¬ 
gy. Tresys hecfl in juni 
2005 daamaast een project 
voor een modulaire, instel- 
bare cn gcdocumentcerde 
referentie-policy in hel 
ieven gerc^epen. De rejpoli- 
cy is nog niet klaar voor 
massagebruik, maar de NSA 
heeft al toegezegd dat deze 
bun voorbecldpolicy waar- 
Hsehijniijk zal op vo I gen. 

Bij Fedora kunnen ge- 
bmikers sinds Core 3 naast 
de targcled-p<)Iiey cKik kie¬ 
zen voor de strici-poliey, 
Wie dat doet staat een flinke 
duik in SELinux le wachien: 


dc Red Hat-policy-maintai- 
ners zijn cr niet vecl mcc 
bezig en de policy is bo¬ 
vendien 20 streng dat zelfs 
cen login op dc console 
niet mag. Het is daarom 
aan le raden de nieuwste 
versie uit Rawhide (de 
Fedora development tree) 
te halen. Ook de hierboven 
genoemde rcfpolicy is daar 
al te vinden, voordat Fedo¬ 
ra Core 5 in maart 2006 
uitkomt. Dc stricLpolicy is 
voor de Enterprise-distri- 
buiie van Red Hat alleen 
als onderdee! van hun Pro¬ 
fessional Services te krij- 
gen. 

'Poch blijven er diverse 
stniikeiblokken over, NFS- 
fiiesystemen laten zich al¬ 
leen met een default label 
mounten, cn het enige back- 
upprogramma dat SELinux- 
labels portabel ondersteunt, 
is star (met de optics -xattr 
-H—exustar), Wat de toe- 
koinst hier zal brengen is 
nog on be ken d - een lijdelijk 
op de NSA-website ver- 
krijgbare patch met experi- 
mentele NFS-support is in- 
tussen naar de 'historische 
versies* verpLiatst. 

In het algemccn is de SE- 
Unux-wereld nogal in be^ 
weging. Bij Mitre en Hita¬ 
chi Software zijn ontwikke- 
laars al enige lijd be/ig met 
prograinma’s om het maken 
van policies makkelijker le 
maken (palgen, slat, seedit). 
Tresys bouwt een |x>licy- 
server voor het beheer van 
policy-modules, cn Red Hat 
wil de in cssentie aanwez.ige 
ondersteuning voor MLS 
(Multi Level Security) in 
SELinux weer nieuw Ieven 
inblazen, inclusief een licht- 
gcwichl variant met de 
naam Multi-Category Secu¬ 
rity (MCS). Daarmee kan 
RHBL namclijk voldoen 
aan de f^SPP/EAL3-Kcertifi- 
catie van de Common Crite¬ 
ria, cen belangrijk ISO-cer- 
tifieaat V€K)r banken en de 
Amerikaanse overheid. Het 
CAFP/EAL3+ certificaat 
hadden Red Hal en Suse 
voor hun enterprise-soft¬ 
ware al in 2004 op zak; 
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KNOWHOW 


Security 



Afbeelding 2t Me^ Red Hats sysfem- 
confi^securitylevel zijn polfcy- 
booleans snel te wijzigen; de optie 
^support bufit'in scripting" activeert 
hier PHP, 


Afbeelding 3; Voordat je met de 
Tresys-tool apoleen analyse van 
een informatiestroom maalct, 
moet je wel het een en onder 
weten over policies. 



der zo transparant nic^gclijk 
tc maken — hij dagelijks 
gebriiik merk je niets van 
de largctcd-ptjlicy, De 
win si is echler dat aanval- 
ien tcgcn een beveiligde 
claenion duidelljk minder 
sc hade kunnen aan rich ten 
(een annvaller meet eerst in 
het doinein untonftneti^t 
zien tc komen). Nog meer 
bcscherming biedt de 
strict-policy* maar die is 
voornamelijk geschikl voor 
servers met een klein uan- 
lal services. Deze policy 
noopt de bchcerder wel tut 
cen diepgaande siudie van 
de policy-broncode - in 
ieder geval bij gebruik van 
nieuwe software, die door 
de policy nog niei wordt 
ondersteuiid. 

Hr is op dit moment nog 
weinig documentatie over 
SELinux, al zijn er al wcl 
cen bock van O’Reilly, een 
manual van Red Hat en en- 


KASPAR BRAND 

werM als system engineer 
securily bij Switch in Zurich. 

PIETER PAUL SPIERTZ 

voortieen werkzaam als 
ontwikkefaor bij automoti- 
seerder Bergson (Eindho¬ 
ven), nu mdacleur bij iX. 

Literatuur 

11 ] h 11 p: //se 1 i n ux .sou rcefor- 
ge.tret/ 

|2tBill McCarty; SELinux: 
NSA^s Open Source Se¬ 
curity Enhanced Idiiux; 
O'Reilly» oklober 2(K)4; 
ISBN 0-596-0Q7I6-7 
PI Karsten Wade; Red Hat 
Enterprise Linux 4; Red 
Hat SELinux Guide; Red 
Hat, febmari 2005 
htt p: / / w w w . redhat ,com/do 
cs/ m an u at s/en te rpri se/R H 


Susc heeft net als Microsoft 
Windows XP SP2 en Server 
2(X)3 zelfs al CAPP/CAL4+, 

Concurrentie 

Vanufversie 10 bevat de 
Suse Linux-dtstributie 
‘App 

Armor% dal op ongeveer 
dezelfde mauler is opge- 
bouwd als SELinux. Ook 
AppArmor maakl gebruik 
van de Linux Security Mo¬ 
dules API Hit 2()D1. AppAr- 
mor bestaal uit cen kernel- 
module en een aantal be- 
heerprogramma*s. Een 
groot vcrschi 1 is dat cr gecn 
he St aande prog ram - 

ma's omgebouwd hoeven 
tc Worden om App Armor tc 
kunnen gebruiken, App Ar¬ 
mor gaai uit van een profi¬ 
le in plants van cen policy, 
die bijvoorbeeld een lijst 
van bestanden bevat die 
door een bcpaald progrum- 
ma beschreven mogen wor- 
den, Zo’fi profile kan auto- 
matisch worden aangc- 
maakl in een zogeheten 
‘learning mode’. 
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Weer and ere security- 
features (o.a, role-based ac¬ 
cess control met ACL’s) 
heeft het zogenaamde gr- 
security-project, dal ondcr- 
dcel uilmaakl van Harde¬ 
ned Gentoo. Dit kan sa- 
menwerken met SELinux. 
zoJang je niet bcide access 
control systems gebniikl. 
Ook hier is er een policy en 
een learning mode, muur dil 
prjyccL maakt juisl explicief 
geeii gebruik van het LSM- 
framework dat voor SELi¬ 
nux in de kernel is ge- 
bouwd. De ontwikkelaars 
betogen zelfs op bun web¬ 
site dal Linux door LSM 
onveiliger is ge worden. 
Omdai er voor LSM ovcral 
htK)ks in dc kernel zijn toc- 
gevoegd, zou het schrijven 
van rootkits er makketijkcr 
door gc w o rdc n z ij n, 

Conclusle 

SELinux is dankzij Red 
Hat slccds vakcr te vinden 
op Linux-systemen. Het is 
de bedoeling om een poli¬ 
cy voor dc systccmbchccr- 


keJe howto’s- Maar als je 
de SELinux-policy van je 
systeem wilt begrijpen en 
veranderen, kun je er nog 
nict onderuil om vcci lijd 
te investeren. 


EL-4-Man ual/sdinux- 
guide/ 

14) Russell Cokers speel ma¬ 
chine, 

http://www .coker.com an/ 
selinux/play.html ^ 
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REVIEW 


Besturingssystemen 



Distributie zelf bouwen met Gentoo 


Linux op moot 

Uwe Seimet 


In de vorige /X kon je al lezen over de Linux-distributies 
Debion en Ubuntu; dit keer nemen we Gentoo order de 
loep, waarvan versie 2006.0 voor februari geplond stoat. 
Ook Gentoo is gratis en heeft een grote community 
gebruikers. Die deinzen er echter niet voor terug om olle 
broncode van het besturingssysteem direct van het 
internet fe plukken, zoals ook bij BSD gebeurt, en die 
zelf te compileren. Is Gentoo daarmee alleen 
weggelegd voor die-hard computerfreoks? 


van je Gentoo-sysreem neemt iianzicn- 
[ijk mcer lijd in beslag dan die van een 
kant-en-kbre Linux-tlislribuUe op cd* 
Weliswaar is het basisgedeelte van Gen- 
icK> op cd bcschikbaar, niaar het is de be- 
doeling dat jc vanaf die basis alle andere 
broncode van de projectservers down- 
loadt cn vcx)r je eigen pc compileert. In 
tegenstclling toL Debian is het gebmik 
van binaite pakketten dus eerder uiLzon- 
dering dan regel. E>e gebruiker kan via 
/x>genaamde ehuiUix zelf bepalen welke 
broncode-pakketien hij in wclkc vcTsie 
wil installeren en welke compilerinstel- 
lingen hij daarbij wil gebruiken, Omdat 
je de compiler kunL afstemmen op je 
processor, kun je zo in pnneipe optimaal 
gcci)mpileerde prograjnma's bouwen. 
Over dit voordecl wordl vccl gediscus- 
sieerd. Het tweaken van f^cc flags is na¬ 
me! tjk een kunst* en het is niet altijd 
even zinvol (cen slabiele kernel vereist 
conservatieve instellingen). Wei nuttig is 
dal je programnia's dus ook expliciet 
met of zondcr ondcrslcuiiing vi>or bijv, 
KDE, Gnome, Unicode etc, kunl compi- 
Icren. Bovendien kun je prognimjna's 
vrH>r/icn van coriipileru itbreid ingen, 
zoals de stack smashing protection 
(SSP) van gcc. Het is ook mogelijk om 
een aanlal concumerende pakketten te in¬ 
stalleren zonder dat dit conlliclen tot ge- 
volg heeft, bijvoorbeeld KDE 33 en 34. 
Oniwikkclaars die verschillende sys- 
teemconfiguraties moeten ondenileunen, 
liekken profijt van deze mogelijkbeid, 
omdai hierdoor een (evt. virtuele) twee- 
de installatie overtxKlig wordL 


Broncode 

Like beschikbare ebuild heeft een be- 
heerder, de mainlainer, die ervoor nioel 
zorgen dat de installatie pniblecmloos 
verloopl. De maintainers tesien nieuwe 
versics daart)m nog y66v de officiele 
Gentcxt-release en zorgen indicn nodig 
ook voor de integratie van patches. 

GcnttK) ondersteunt een groot aantal 
32^ en 64-bit-platforms, waaronder 
Alpha JIP-PA, PowerPC, Spare en x86. 
DcKalnicUcmin zijn niet alle software- 
pakketten beschikbaar vtH)r ieder plat¬ 
form of verschillcn de vri jgegeven ver- 
sies onderling. De beschikbaarheid van 
een pakket is afhankclijk van het feit of 
de desbetmffende maintainer hcl slabiel 
acht viKtr een bcpaald platform. 

Basisinstallatle vanaf cd 

Er zijn 3 cd-images die als installalie- 
mediiim kimnen dienen voor de x86. 
Twee van deze cd's bevatten basissyste- 
men van verschillende omvang voor de 
basisinstallatie Cminimar en 'universal'), 
de derde is een pakket-cd met optionele 
software. Het kleinsle van de basis-ima¬ 
ges is slechts 60 MB groot, het gnK>Lstc 
bevat net als de pakket-cd ongeveer 700 
MB aan binaire pakketten. Bij de x86- 
distributie zijn enkele pakketten, waar- 
vaii de compiler de belangrijkste is, ont- 
wikkeld vmw verschillende processorva- 
rianten. 


E r zijn lal van redctien om te kiezen 
voor een vrije inlcrnetdisiributie 
van Linux in plants van een com- 
merciclc versie. Dan hebbeti we het nog 
niet eens zozeer over geld, want voor 
het gratis Gentoo is een snelle intemet- 
verbinding min of nicer noodzakelijk. 

Wat een intemetdistributie wel voor- 
heeft op een cd-versie is dat je hiermec 
jc systcem geheel naar eigen wens kunt 
samenstellen. Jc bent vollcdig onatlian- 
kelijk van release- en update-cycli, 
Afgczicn van patches voor beveiligings- 
gaten wordt nieuwe software door 
commerciele distributies pas hij het ver- 
schijnen van een nieuwe ven;ie beschik- 
haar gcstcld. Maar juist ontwikkelaars 
hebben er bclang bij om die nieuwe 
st>flw£ire al voor die tijd uil te kunnen 
proberen. En deze gixxip heeft dan ook 
meer aan flexibele intemetdistributics. 

Of je nu ontwikkelaar of gebruiker 
bent, een feil slaat vast: de configuratie 
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ftiVIEW 


Besturingssystemen 


Hci basisidec van de distrihutie is dat 
i^n systeem volledig uit broncode wordt 
opgebouwd, Daarom hoefl hci Gcntno 
project dc instalbtie-cd nict vaak bij te 
wcrkcn. Ongeveer elk half Jaar komt een 
nieuwe Gentcio-reJeasc uit, T(x:vailig 
siaat de eerstc van dit jaar, 2(X)6.0, ge- 
pland V(H)r Ibhruari* De vorige, 2005.1, 
dateert van afgelopen auguslus. De cd's 
dienen er met name vot>r om snel een 
basisomgeving in te richten. Met deze 
basisomgeving kun je snel beginnen met 
werkzaamhcden, terwiji tijdens de rest 
van de inslallatie de broncodepakketten 
gedownload en gecompileerd worden cn 
de cd-versie geleidclijk vervangcti, 

AlJe informatic over de installatie is 
le vinden op de servers van het project 
op gentoo.org. Je kunl kiczen lussen 
een Quick Install Guide en het uitvoeri- 
gc 'handbook'. Als je Gentoo voor het 
eerst installeert* doe je er goed aan om 
de uitvoerige verste te downloaden, 
want hierin worden alle installatiefases 
stap voor stap uitgelegd. 

Geen grafisch beheer 

Gentex? biedt geen grafische installa- 
tietools, maar daar word! wel aan ge- 
werkt. Ze staan op dit moment echter 
nog in de kinderschoenen. Daarom rm>ei 
je voorloptg beieid zijn om configuratic- 
bestanden handmatig aan te passen. Ce- 
kikkig brengt dit niel al te veel werk met 
zteh mee, in het algemeen is coiitrt>leren 
en kopieren van de slandaardinstellingen 
voldocnde, 

Als je het besturingssysleem will in- 
richten met het kleine ed-image heb je 
een intemetverbinding nodig, Voor de 
grotere image is die niet vereisl, als je 
tenminste tevreden bent met de pukket- 
ten op de ed. Met behulp van de pakket- 
cd kun je je systeem inrichten met ecu 
gmfische interface. In de prakiijk hleek 
dit allcen le werken by Gnome; KDE 
was zonder intemettoegang niet te in- 
stalleren vanaf de pakkel-cd, Daamaast 
moet Xorg, dc meegelcverde versie van 
het X Window System, geconfigureerd 
worden in het bestand xorgx:onf. Hci ge- 
nereren van dal bestand mei xorgeonjig 
of Xorg -configure gaat bij sommige 
hardware niet in een keer gtx^d. Het is 
dus pretlig om een al geteste versie van 
jcfirg.co/i/bij de hand te hebben, Je kunl 
xorg.conf ook automatisch generenen 
met de GcnU>o Li veH;d of Knuppix, 

Com mere i ele Li nu x-d istri bu tcu rs 
bundelen liun product meesial met zelf 
ontwikkelde Uxils met een grafische 
inlerfacc. Suse doet dil bijvoorbeeid met 
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i^-TRACT 

• Gentoo is een vrije Linux- 
distributie, waorbij de software 
zoveel mogelijk zelf gecompi- 
leerd wordt. 

• Op de server van het project zijn 
zo'n 10.000 geteste pokketten te 
vinden; de installatietDol emerge 
zorgi dal de afhankelijkheden 
outomati^cb opgelost worden. 

• Voor de installotie en bet onder- 
boud van het systeem is een 
snelle intemetverbinding vereist. 


Vast. Op die manier kunnen nieuwe 
diensten geconfigureerd worden of ver- 
anderingen doorgevoerd worden in dc 
systeemconfiguralie /.oiidcr dat de ge- 
bruiker handmatig in conflgunitiebestan- 
den moet gaan zoeken en edilen. Mei 
name voor de onervaren Llnux-gebnij- 
kcr zijn zulke tools onmisbaar, Bij veel 
Liniix-distributies oiitbrekeri deze kx^ls 
vaak en dat is ook het geval bij Gentoo. 
In deze dislributie moet je je systeernbe- 
heer regelen via dc coiiimandlinc. Maar 
Gentoo heeft wel als viHinJeel tlat de 
configuratiebesranden van commentaar 
zijn voorzien en in een eigen directory 
staan, in /etc/conf.d. Als je er niets op 
tegen hebt om een consolegebaseerde 
tekstverwerker als ViM of nano te ge- 
bruiken, dan zal dil s<K>rt sysleembeheer 
vrij Slid wennen. Temeer omdat je niet 
iedere dag veranderingen zult lioeven 
doorvoeren en omdat jc bij problemen 
veel informatic kunt vinden in fora op 
de Gentoo-site, Maar als je beheerstaken 
liever via een GUI doet, dim is Cientoo 
niel de bcsle kcuze. 

Onderhoud van Gentoo 

Het pakketbeheersystcem van GenUx> 
heet 'Portage', Zt^wcl de naam als de 


werking doci denken aan de 'ports' bij 
FreeBSD. Portage houdt alle gegevens 
t)ver geVnstalleerde pakketten bij in een 
database op dc lokalc pc, l>eze database 
wordt vergeleken met de refercntielijsl 
van het project, die op dit moment mcer 
dan 10.(XK) softwarepakkeUen bevat. Ter 
vergelijking: dc pakketlijst van I>ebi'an 
3.1 ('Surge') omvat zo'n 15.500 pakket- 
fen en FreeBSD ongeveer ]3.{X){). Alle 
handelingen die bclrekking hebben op 
hel onderhoud van de gemsialleerde 
pakketten w'orden vollrokken via de 
command I ine’-tot>l emerge. Als je jouw 
database van installeerbare pakketten op 
een lijn wilt krijgen mcl dc rcfcrenlic" 
lijst, dan doe Je dat mcl emerge -sync 
(of met esync, dat ook meteen eupdu- 
tedb uitvoert); dit neemt enkele niinutcn 
in beslag. 

De pakketinformatie op de servers 
van het Gentoo-project wordt voortdu- 
rend bijgewerkt. Lr zijn geregeld dagen 
waanjp de status van 1 tX) of meer pak¬ 
ketten verandert. Je bepaah als gebrui- 
ker zelf welke updates je wilt uitvoeren. 
Je wcrkl al je gemstalleerde pakketten 
hij door middel van emerge —update 
war id, 

Vix)rdr kun je via emerge —pretend — 
update war id bekijken welke pakketten 
door een update bijgewerkt /jouden wor¬ 
den. Hcl is overigens tK>k mogelijk af- 
zx>ndertijke pakketten te laten bij werken. 
Als je na enkele weken zonder updates 
een algeticIc update .start, moet Je er re- 
ken ing mee houden dat de computer ur- 
enlang nieuwe pakketten aan het com pi- 
ieren is. Maar af gezicn van de belasting 
die deze compilatie met zich meebrengl, 
z^l de gebmiker weinig liinder ondervin- 
den eti kaii liij gewixm dtxirwerkcn met 
de al aanwezige in stallage, 

Na de updates moeten de conllgura- 
tiebesianden van dc dcsbelreffende pak¬ 
ketten gecontroleerd worden. Tenzij 
Gcntcxi uitdrukkeiijk de opdracht heeft 
gekregen alle pakketten of een aantal 
wolbcpaalde pakketten te vervangen, 
overschrijft Gentoo de pakkcllcn niel 
aatomatisch, maar Icgt het nieuwe 



Bij Gentoo 
worden 
pakketten 
ingedeeld noor 
platform en naar 
status 

(afbeelding 1), 
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vers ICS aan naast de bestanden die al 
voorliandcn zijn. De gebriiiker kan ver* 
vulgens met het icis makkelijkerc 
dispaich-conf nagaan welke verandcrin- 
gen hi ) wil diKirvixinen en deze vcrvoi“ 
gens (eventiieel gedecUehjk) loepassen. 
In de siandaardinsielHtig ontbreckt dc 
mogelijkhcid om dit automatisch te 
doen, wat de behecT'swcrkzaajnheden 
aanzienlijk kan vertragen, niaar daar 
staai Legenover dat er iiict ongewenst of 
ongemerki verandcringen doorgevoerd 
kunnen worden. Voorde minder ervaren 
gebruiker is hel over]gens niet altijd 
even gemakkelijk om dc impact van de 
verandcringen in te sehatten, Bij de in- 
stallatie rjioel je crop letten dat je emer- 

ntcl nil vcrschiliciide shells tegelij- 
keitijd oproept, want dat zou kunnen lei- 
den tot synchrojiisatieproblemen met dc 
installaticdatabasc cn dien tenge volge tot 
comprlatiefouten, 

lien andere belangrijke command- 
line-lool is ri -update^ waarmee je sys- 
teemdiensten kunt tocvtjcgcn en verwij- 
deren in de scripts in /etc/init.d. Dit is 
het equivalent van de tools insserv en 
chkconfig bij andere Linux-distributies. 

Een kwestie van status 

ledcr soflwarepakket bevindl zich in 
de testfasc {/Je albeeiding I) in een van 
de vier mogelijke tocstanden ’stable', 
Jesting', 'masked, stable’ of ’masked, tes¬ 
ting’. Nicl-gemaskeerde pakketten zijn 
pakketten die GenUM) bij een reguliere 
installatie of bij een update insiallceit. 
Dat zijn niet noodzakelijkerwijs de 
nieuwste versies, maar de pakketten die 
volgens bun maintainers tocreikend ge- 
IcsL zijn. Ben pakket kan voor het ene 
platform als slabicl gelden en voor het 
andere niet. Voor ontwikkclaars kan hel 
handig zijn om ook over de nieuwste 
software versies Le besehikken die nog 
niet de stabiele status bcrcikl hebbeii. 
Daarom kun je Jiistellen welke pakket¬ 
ten GentcK) tK)k nitjct installeren als ze 
de status 'testing' of’masked' hebben. De 
pakketten met de status 'testing' zijn in 
het algcmeen pakketten die wel al vrij- 
gegeven zijn d(x>r de ontwikkelaars, 
ma£ir die nog niet afdoende getest zijn 
onder CjcnUx>. Gemaskeerde pakketten 
zijn pakketten die nog niet ofllcieel uit- 
gebracht zijn, bijvoorbeeld omdat ze 
ni)g problcmen opleveren op bepaakle 
architecturen, of omdat ze conflicten 
met andere pjikketten opleveren. Als je 
per sc wil, kun je ze toch downloaden. 

Bij de installaiic van nieuwe pakket¬ 
ten rekent emerge automatisch allc de¬ 


pendencies uit, en downloadt cn compi- 
IccrL het alle nodige extra pakketten. Als 
je pakketten wilt dcinsiallercn die jc niet 
meer gebruikt, moet je vtKir/ichlig te 
werk gaan als het om bibliotheken gaat: 
de rnstallattekx>l herkent aileen depen¬ 
dencies van pakketten die het zelf 
gcinstaileerd heeft. Als je besluit onal- 
hankciijk van Ptulagc zcIf pakketten te 
compileien en te installeren, dan mocl je 
er (K)k zelf voor zorgen dat emerge de 
benodigde bibliotheken niet wist. De 
tool laat in zulke gevallcn cchtcr wel 
zien om welke binaries het gaat. In 
geval van twylcl doc je er goed aan 
oude libraries niet te verwijdercn, zodat 
je ze later ook niet opnieuw hoeft te in¬ 
stall ere n. 

Commerciele pakketten 
in binaire vorm 

Het conecpl van Gentoo is dat je al 
je software zelf compilecrt uil de bron- 
code. Dal is consequent vol ic houden 
als jc uilsluitend vrije software ge¬ 
bruikt. Het word! cen under verhaal als 
je te maken krijgt met applicaties die 
aliccn in binaire vorm beschikbaar 
zijn, zoub Acrobat Reader, de Flash- 
player, RealPlayer, Oracle of VMware. 

Genloo stelt enkeie van dit stx>rt pak¬ 
ketten beschikbaar op zijn eigen server. 
Deze kunnen gewotm via emerge ge- 
inslalleerd worden, dan iiiteraard zonder 
te compilcren. Andere pakketten als 
Oracle ontbreken gewtx>n. Net als bij 
andere dtstributies kunnen die aliccn 
met dc installatieprogramma’s van de 
aiinbieder geinstallecrd worden. J loud er 
wel rekening mee dat Genux) bij de 
mccstc commerciele pakketten niet be- 
hoort tot de ofllcieel ondersteunde plat^ 
fortns en dat het installeren tK>k niet al¬ 
tijd lukL. Zo kende Oracle 10 ons Linux- 
platform niet cn weigerde de installer op 
ons platform te installeren. Een analyse 


J^-Beoordelmg 

© veel beschikbare pakkellen 

© binaries afgestemd op eigen epu 

©flexibel pokkelbeheer 

© veiligheidspotches snel beschik- 
boor 

0 extra resources nodig voor de 
compilatie van de pakketten 

0 geen GUI-configuratietools 


van de systeemcommando's (met ,^trace) 
kun in zulke gevallen wel eens uitskhtsel 
geven over dc oor/^aak van het pro- 
bleem. In het geval van Oracle laat hel 
installaticprogramma zich foppen door 
het aan maken van het bestand /elc/Uni- 
leclUntiK-releitse met de inhoud * LO'. 

Sommige pakketten, zoals OpenOffi- 
ce, waarvan de compilatie extree m lang 
duuit, worden ook in binaire vorm be- 
sdvikbaar gesteld. Deze kunnen met 
emerge ook binair gedowtiload worden 
vanaf de Gentoo-servers. Je kunt hier 
kiczcii tussen de snelie installatie van 
het binaire pakket cn de relatief lange 
compilatie, waarmee je wel cen versie 
krijgl die optimtuil aan de eigen prcxies- 
sor aangepasL is, 

Conclusie 

Gentoo-Linux is een profcssioncle, 
vrije disiributic voor ontwikkelaars en 
gevorderde gebruikers. Als jc met Gen- 
UK) aan de slag gaat, is een snellc inter¬ 
net verbinding echt aan te bevelen en 
moet jc de nodige tijd cn restjurces heb¬ 
ben om pakketten op je eigen pc Ic kun¬ 
nen compilcren. We hebben Gentoo en¬ 
keie maanden in dc gaten gchouden en 
we beschouwen het als cen slabicic om- 
geving, die de maintainers vooftduirnd 
bijwerkcn - niet aliccn wat patches be- 
treft. Als je niet wilt vastzitten aan binai- 
rc pakketten die uitsluitend voor bepaat- 
dc distributics bestemd zijn, en als je 
niet te beroerd bent om zo nu en dan 
configuraiiebestanden handmutig iian tc 
pas.scn, dan heb je met Gentoo een goed 
besturingssystcem in handen. 

Hoewei er bedrijven zijn die hci Gen- 
Rx)-projcct lltiancieel ondersteunen (o.a. 
HP), mag je geen officiclc support ver- 
wachten van commerciele soflwareaan- 
hieders. Meestal draait Gentoo zonder 
problcmen, maar als Jc garaolie wilt op 
een probleemloze installatie of cen coii- 
tactpcrsixxi, kun je je beter wenden tot 
een ondersteunde - cn in de meeste ge¬ 
vallen dus een commerciele - Linux- 
distribulie. 

Je kunt GcnUK> tx>k eersl uitproberen 
met behulp van een live-cd, ztxlat je het 
kunt draaien zonder het op de hardc 
sehijf te installeren. Op deze cd staat 
ook de eerste ven>ie van het nieuwe in- 
stallaiieprogramma met grafische inter¬ 
face. 

DR. UWE SEIMET 

is soflworoontwikkebor bij Onelk: Internef 

Systemhaus in KoTbuhe. JJ 
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REVIEW 


Software-ontwikkeling 



Microsoft Visual Studio 2005 

Hogesnelheids- 

ontwikkeling 

Hoiger Schwichtenberg 

Tegelijk met hef .NET Framework 2.0 verschijnt een 
nieuwe versie van Visual Studio, De nieuwe versie biedt 
meer ondersteuning voor zowel 'quick & dirty' prototyping 
als producfiecode in firma's. 


D e .NET Fnimework SDK is gra¬ 
tis te downloaden cn be vat com- 
pilcrs vixjr Visual Basic, C#, 
JScripl cn Een ontwikkelaar zou 
kunnen volstaan met ccn leksieditor, 
maar profcHsitinele productiviteit be- 
raik je alleen met grafische GUl-de- 
signers en slimme code compiction. 
Enter Visual Studio, 

Visual Studio 2005 (VS2005) heeft 
in tegenstelHng tot zijn vtKTrganger “ 
Visual Studio ,NHT 2(K)3 - geen 
\NE1"' mccr in dc naam staan, maar is 


natuuriijk nog steeds gericht op hot 
ontwikkelen van .NET-toepassingen, 
Ook dc cnige uitzondering hierop is 
nicl veranderd: de C++-compilcr die 
bij VS2005 zit (maar nicl in het ,NET 
rraTnework) pniduceert naar keuze TL- 
bylccode (’managed code') of gewonc 
native machinecodc, 

Dc vorige versie was verkrijgbaar in 
de smaken Standard , Fmtessiona!, En¬ 
terprise Developer cn Enterprise Ar¬ 
chitect, Deze structuur heeft Microsoft 
gcwijzigd. Nog onder de Standard Bdi- 


tion is er nu de Express Edition en 
boven Professional is alles samenge- 
voegd tot de nieuwe Team Suite* Deze 
twee nieuwe versies zijn elk in meer- 
dere varianten leverbaar (zie afbeel- 
ding I). Vix’ir deze test had iX de be- 
schikking over dc final-versie van dc 
Engelstalige Team Suite, 

Aan de basisvcnslers voor project- 
niappen, klassenhierarehie, GUI cn 
code is niets veranderd, Nicuw is dat 
coinpileifOLiten niet mccr in het taak- 
venster, maar in een nieuw foutenven- 
slcr vcrschijnen, 

IDE-vensters en 
projecten 

Sterk verbeterd is de plaatsing van 
de vensters en de navigatie daartussen, 
Als je een venster in het centmm van 
ccn navigalic-element dropt, wordt dil 
als een tabblad in het bestaandc ven¬ 
ster gerangsehikt, Dc toctscombinatie 
Ctrl-Tab icM>nt een venster waarmee jc 
met Tab door de vensters kunl itcrcrcn. 
Elk document venster bevai de functies 
Xopy Pull Path" cn "Open Containing 
Folder", waarmee de fysiekc opslag- 
plaats van data met ccn klik bereikbaar 
is. 

Met Visual Studio kun je vanzclf- 
sprekend losse ct>dcbcstanden editen, 
maar dc echte kracht zit hern in het 
projectgebaseerde werk* Bij het starlen 
of openen van een project vcrwacht de 
oniwikkclomgeving een projectsja- 
bloon. De al beschikbare sjablonen 
zijn op taal gesortcerd (dc voorkeurtaaJ 
is inslelbaar bij dc cerste start van de 
IDE of via het menu Tools/Import and 
Bxpt>tl Settings'), De juisle keuze van 
een proJectsJabltHyn is bclangrijk: de 
programmeur kan de taal achteraf niet 
meer wijzigen, 

Webprojecten zijn in de nieuwe IDE 
niet meer onderworpen aan het project- 
systcem van Visual Studio, maar vol- 
gen een eigen niosolle: allc bestanden 
in een als website geopende directory 
zijn automatisch onderdccl van de 
compilatie. Op hel laatste moment 
heeft Microsoil de optie weer inge- 
bouwd diit je afzonderlijkc pagina's 
van het project kunt uitsluiien, Vreemd 
is wel dat deze optie voor het uitsluiten 
van hele mappen onibreekL Een 
ASP,NET-webscrver is vwr het ont¬ 
wikkelen nicL meer per se nodig, aan- 
gezien VS2005 er zelf een bevaf Pro¬ 
jecten uit VS2003 moot VS2()05 hij 
het openen converleren, omdat het pro- 
jecHtirmaat is gewijzigd. Daarnaast 
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Visual Studio 2005 Edition 



Visual Smdio Team Stitte 




Visual Studiu 

Team Eefilion foi Software Developers 

Visual Studio 

Team MiIeki for Software Architects 

Visual Studio 

fe^Editiofl for Software Testers 



Visual Studio Professioual 




Visuaf Studio StandardFdition 



Met de voordelige Express-editie hopen de mensen in Redmond de finonciele 
drempel voor instappers aonzienlijk te verlogen (afbeelding 1]« 


voeil de Conversion Wizard naar ge- 
lang van de aard van hcl project ver- 
schillende migratiestappen in de bron- 
code door. De hcsturingselementen 
blijven daarbij onaangetast, ook wan- 
neer .NET 2.0 een betere pendant 
bevat. 

Code-editors en 
refactoring 

De klcurmarkcringcn in de kantlijn 
van de code-editor spHngen in bet oog. 
Een gclc kleur geeft aan dal een rcgel 
(ia het openen van het besiand is gewij- 
zigd, een groene beteketn dat de wijzi- 
ging is opgeslagen. De balken blijven 
in stand tui de ontwikkelaar het be- 
stand sluit. 

Net als zijn voorgangers kent de 
code-editor van VS2005 allerlei hulp- 
jes {'Intel iiSense' genoenid). De hoe- 
veelheid codehylpjes is in VS2005 
sterk uiLgebreid en toegespitst op dc 
verschillende .NET-taleii. Al uiteerde- 
re versies bekende features waren List 
Members, Parameter Into, de Uniltip 
Quick Info {loonl typedeclanitie of mC" 
thod-header) en Complete Word (vult 
hcschikbare method-, type- en mem- 
bemamcn aan). 

Nieuw is de mogelijklieid om voor- 
gcdcfinieerde codefragmenten in te 
voegen ('InlelHTask’). Dat gaat via de 
optie imeri Snippet uit het coniexi- 
rnenu of via dc opdracht 'Edit/lntelliS- 
cnsc/lnscrl Snippet', De keuze is voor 


J?-TRACT 

• Visual Studio 2005 Is 
door Microsoft op 7 
november 2005 op de 
morkt gebrachl. In Neder¬ 
land is alleen de interno- 
tionale versie te krijgen. 

De Express-versies zijn tot 
november 2006 gratis van 
de site van Microsoft te 
downlooden. 

• De softv/ore vereist mini- 
maal een 600MHz pro¬ 
cessor en Windows 2000 
SP4, Windows XP SP2 of 
Windows Server 2003 
SP1. Een Express-editie 
met het Framework neemt 
rond de 80 MB in beslog, 
de volledige Visual Studio 
tot circa 1.3 GB, 


VB groter dan voor en is in een he- 
tcbr>e] groepen georganiseerd. Veet 
snippets bcvalten placeholders, waar 
de ontwikkelaar met de Tab-toets di¬ 
rect naarloe kan springer, Ook kan tilj 
via dc opdracht Tools/Code Snippet 
Manager' eigen snippets toevoegen en 
daardoor een eigen code-database aan- 
Icggen, die in het gebruikcrsprollet 
wordt opgcsIagerL In C# en kun je 
snippets zelfs invt^gen door afkortin- 
gen in te typen (bijvoorhccld mbox, 
of ctor) cn daarna twee keer op 
Tab te drukken, 

Daarnaast kan VS2(K)5 nu met een 
paar muisklikketi kleine aanpassingen 
van besTaande code (refactoring) voor 
jc doen, zoals gcselectccrdc code in 
bkK;ke(msU'uclies inpakken ('Surround 
with’), de volgorde van parameters in 
cen methode wijzigen {'Reorder Para¬ 
meters'), ceil nieuwe method-body gc- 
nereren uit bestaande code (Extract 
Method') of uit een method-aanroep. 
Dat laatste kan ook voor interfaces en 
abstractc ktassen uit bestaande klasscn. 
Ook kunnen namen van klassen of 
klassemembers sneJ gewijzigd wordeii 
in hcl hele project en kunnen private 
attributes sncl omgezet worden in 
echte propenies, inclusief set- en get- 
met hoden ('Encapsulate Field'). Oor- 
spronkelijk had Microsoft deze nefac- 
loriiig-hulpfuncties alleen vtxir C# ge- 
piand. Maar na protester van VB-ont- 
wikkelaars die zich benadeeld voelden, 
gaat het bedrijf uit Redmi>nd voortaan 
(K>k dc add-in "Refactorf for Visual 
Basic 2fH)5" van de firma Developer 
Express gratis aanbieden. 

Designers en RAD 

De Designers voor Windows Forms 
en Web Forms hebben naast enkele 
nieuwe posilionerings- en structure- 
ringstools txik wizards voor de tallozc 
nieuwe besturingsclementen gekregen. 
Het fundamentele onderscheid tussen 


de twee is gelijk gebleven: de Web 
Forms Designer genereert HTML, de 
Windows Forms Designer vertaalt elk 
element op het beeldscherm in een 
reeks codcrcgels, Een op XML geba- 
seerde GUI-beschrijving verschijnt pas 
hij dc IDE voor de komende WinFX- 
bibliotheck. In tegenstelling tot zijn 
voorganger schrijft Windows Forms 
Designer zijn code naar een bcsland, 
zodat het gcscheiden is van de code 
van ontwikkelaars, wat de overzichte- 
lijkheid ten goede komt. 

Fx^n bclangrijke vemieuwitig in 
VS2(K)5 is de sterkere ondersteuning 
van Rapid Application Development 
(RAD) v(K)r toepassingen die op 
data(bases) zijn gebaseerd. In Win¬ 
dows Forms en in Web Forms kan de 
oniwikkclaiU", zonder or^k maar een 
regel code te hex^ven schrijven, met en¬ 
kele muisklikken een GUI maken die 
met allc basisfuncties is uitgerusl, 
zoals sorteren, bladeren, wijzigen, op- 
slaan, invoegen en wissen. In het sim- 
pelstc geval sleep je een label uit hcl 
gegevensvenster op de achtergrond 
van het formulier - de rest wordt door 
de ontwikkelomgeving afgehLmdeld. 

Het resuitaat functioneert we I is waar 
goed, maar voldoet niel aan de eisen 
vtKir gedistribueerde, geschaalde en 
onderhoudbare toepassingen, omdat de 
gegenereerdc code uit een of hooguit 
twee lagen bestaat 

Intcressaiit is dat zo'n RAD-dataver- 
binding fundamcnteel anders werkt in 
Windows Forms en Web Forms. Met 
Web Forms kun je direct gehruikma- 
ken van cen daiaverbinding die je in 
hel venster Data Connections hebt ge- 
rcaliseerd, terwijl het in Windows 
Forms steeds ntxxlzakelijk is eerst een 
zogenaamde typed dataset le genere- 
ren. Dit is een eenvoudige objcctrela- 
tionele mapper, die Microsoft voor 
VS2005 weliswaar heeft gerenoveerd, 
maar nog niel naar het niveau van 
third-party prtxlucten heeft getild, Het 
belangrijkste nadcel van typed datasets 
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Software-ontwikkeling 


Express-versies voor solisten 


De Express-familie am vat de volgen- 
dc xcs praducten : 

- Visual C# Express 

- Visual VB,NET Express 
-Visual Web Developer Express 

- Visual C++ Express 

- Visual J# Express 

- SQL Server Express 

Deze versies zijn gratis le down- 
loadcn en enigszins beperkt, Zo kun- 
neu de cental ige producten gecu pro- 
gramma's compileren voor Windows 
CE, bevaUen zc alleen de belangrijk- 
ste IDE-functies en worderi alleen de 
belangrijkste typen loepassingcn on^ 
dersleund (Windows, web, console, 
services). Ondersteiiniiig onlbreckl 
voor SQL Server- en Onicc-toepass- 
iiigen, maar bijvtK)rbeeld ook voor 


is dat op de achlergrond eeii grote berg 
code word! gegenereerd* 

Ten faveure van Mien^soli moot 
echter worden opgemerkt dat in elk 
geval vtK)r Web Forms de gegevens- 
conneetie met business objects aan- 
zienlijk is verbeterd. Als Je meerlagig 
wilt ontwikkelen* beschik je weliswaar 
nicl over hei tiitgebreide comfort dai 
RAD-ontwikkelaars hehben, maar hoef 
je bij dataverbindingen ook weer niet 
hclemaal van IDE-onderslciming af le 
zien. Een vereiste is dan we I dat die 
business objects melhoden met bepaal- 
dc hcadeqiarameters bebben, 

De omgeving voor het werken met 
data is in VS20B5 sterk gewijzigd. 
Voor databeheer beslaan voorlaan 
twee vensters: Server Explorer en Data 
Sources. Deze Server Explorer toont in 
dc tak Data Connections de inhoud van 
alle verbonden databases. Via het con- 
textmenii van deze tak kan de ontwik* 
kelaar nieuwe databases toevoegen. In 
het geval van SQL Server kan VS2(X)5 
nieuwe databases zelfs rechtstreeks 
vanuit de IDE samcnstellen. Overigens 
heb je daarbij geen mogelijkhcden om 
de omvang van de database in te stel- 
len. Mel Data Sources venster laat allc 
dataeomponenten voor je huidige ap- 
pHcatie zien, die je direct kuni drag Sc 
droppen. 

Ook voor SQL SeA'er 20f)5 zijn er 
belangrijke features bijgekonien. Zo is 
er een nieuwe Visual Data Designer 
bijgckomcn en is de .NET-runlimc in 
SQL Server ge'mtegreerd (genaamd 


XSLT-editor of functies voor hot bou” 
wen van setup-pakketlcn. 

De meertalige Visual Web Develo¬ 
per komt in de plaats van Web Ma¬ 
trix. SQL Seiver Express is gebaseerd 
op Microsoft SQL Server 2005 en 
lost de bestaande MSDE af. Visual 
Web Developer Express en Visual 
Basic Express zijn ook in de winkel 
te kiwp voor € 60. 

Met de gratis Express-edities 
neemt Microsoft beginners en nicL 
professionele programmeurs in het vi¬ 
zier. Microsoft noemi hen 'hobbyis- 
icn, enihousiastelingen en studenten' 
en het bedrijf sc hat hun aantal met 18 
miljoen op driemaal zo hoog als het 
aantal professionele ontwikkclaars. 


SQLCLR), om stored procedures, trig¬ 
gers, types en functies nu in ,NET- 
talen te kunnen sehrijven in plaats van 
in T-SQL. Daarover is hel laatstc 
woord nog niet gesproken. 

Waar de voorgaandc versie voor de 
visuele representatie van klassedia- 
grammen als enige mogclijkheid met 
LlML-diagrammen van Visio overweg 
kon, bcschikr VS2(X)5 over een eigen 
Class Designer. De symbolcn hierin 
doen weliswaar aan UMl. denken, 
maar zijn niet UML-confonn. Micro¬ 
soft heefl al eerder aangegeven afstand 
te nemen van UML, cn dat werkt op 


JI^Beoorcfeling 

©vergoanefe ondersteuning in de 
editor 

© Rapid Applicotion Development 
voor Web* en Windows-toepas* 
singen 

@ geintegreerde modelleergereed- 
schappen en versiecortrole 

@ gedifferentieerde debugging 

@ clienl/server-versie vefkrijgbaor 

© verschillen tussen Windows Forms 
Designer en Web Forms Designer 

© fnfelliSense niet voor alle pro- 
grammeertclen even kracfilig 

© onvoldoende scheiding lussen 
RAD en enlerprise-development 


diverse niveaus in VS2()05 door. In dit 
geval zijn de diagrammen slechls een 
grafische representatie van de aan we- 
zige code en is daarmce beperkt tot het 
uitdnikkingsvermogen van .NET-talen. 
Maar om die reden en omdat M icrosoft 
de code zelf als basis gebruikt, is wel 
echte rourtii-irip engineering mogelijk. 
Dal wil zeggen dat elke wijziging in 
cen diagram in de code wordt overge- 
nomen en andersom. Alleen de plaats 
van de klasscn in het diagram moel 
VS2tM)5 afzonderlijk opslaan. 

Compileren en 
debuggen 

Was compilatie in VS2(X)3 nog in 
hoge mate een black box, met het 
.NET Framework 2X1 levert Microsoft 
ecu nieuwe buildtool mee {mshuild. 
exe), die een aantal concepien leenf uit 
het van veel Java-projecten bekende 
ant. MSBuild is volledig in VS2(K)5 
gcinicgreerd: de projectbesianden zijn 
geldige XML-invoerbestanden voor 
MSBuild en bevatten alle noodzakclij- 
ke instellingen. Een compilatie van het 
project is zo zelfs zonder installaiie 
van VS2(K)5 mogelijk, Nicuw in 
VS2fK)5 zijn de functies Cle^m Solu¬ 
tion in hel menu Build en Clean in het 
coniextmcnu van het project, waarmee 
de IDE alle aanwezige uitvtK^rbcsian- 
den van het project wist. 

Ook de geinlegreerde debugger 
heeft Microsoft aanzienlijk verbeterd. 
De basisfunctics (breakpoints, step¬ 
ping, vensters V(H>r weergave en veran- 
dering van variabelen) zijn belzelfdc 
gebleven, maar een enormc timesaver 
is ’Edit and Conlinue’, bekend uit Vi¬ 
sual Basic, dal nu ook werkt in CJ. 
VS2(105 kent daarnaast nu meerdere 
hulpmiddelen om de weergave tijdens 
het debugproccs te beYnvloeden: 

- met de annolatie DehuggerDis- 
playAnrihute kun je bepalen wefke 
gegevens de ontwikkelomgeving 
voor een variabeie weergeeft. 

- met DehuggerBrowsahieAttribute 
kan een ontwikkelaar data members 
voor de debugger verbergen. 

- met DehuggerTypeProxyAttribute 
kan de programmeiir een type als een 
under type laten weergeven. Dit is 
nutlig om cen afgeleide klasse net zo 
wcei Le geven als zijn basisklasse. 

- met DehuggerVistuilizer kun je een 
klasse met eomplexe variabelen een 
eigen weergave aanbieden. Er zijn 
visualizers beschikbaar voor XML, 
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Het zwaartepunt van taken is bij da varschrllende VSTS-voriantan afhankelijk 
van de rol die wordt varvuld (afbeeldtng 2). 


HTML, DataSet- en DataTabk'-ob- 
jecten. 

De nieiiwe Object Test Bench 
inaakt het mogelijk klassen te creeren 
en in objcclen method en aan le roe pen, 
zonder dat de oniwikkelaar expliciete 
aaiiroepcode hoeft te implcmenteien of 
de toepassing hoeft te starten. Vanuil 
de Class View-weergave of vanuit een 
klassediagram kan hij van ceii klasse 
een object makeii, dat vervolgens gra- 
fisch in dc Object Test Bench wordi 
weergegeven* In het contexlmenii van 
hct graftsche object staan alle metho- 
den van hel object voor directe aan- 
roep ter beschikking. Stalische metho- 
den kan de ontwikkelaur rechtslrceks 
vanuit de klassenweergave aanroepen. 

Teamwerk en 
levenscyclus 

Tot nu U>e focuste de IDE zich pri- 
niair op het pnigrammeerproces. Voor 
het model leren en het vcrsiebeheei' 
waren met VisiD en SourceSafe twee 
hulpprodncten verkrijgbaar, die echter 
allebei duidelijke zwakke plckken ver- 
toonden. Andere gebieden in dc le¬ 


Tesrn S^jilu {3 edifiDos) mel MSON Pumiuni 

€11711 

Teom Suite vwr MSDN fnteriirije / WSDN UnhfefMl 

€ I28S 

Team Edition met MSON Premium suburiptioD 

€ 5855 

PfofessionQl met WSOK Premium subscTiptiofi 

€ 2675 

P/ufesskMial 

€855 

Stondurd 

€320 

Team Feundoiiun Server 

± € 2750 


venscyclus van de software werden of 
helemaal niet of slechts met aparte, 
nict in de IDE geintegreerdc gcrced’ 
sc happen afgedekt (zoals Web Stress 
en CLR Profiler), Mel Visual Studio 
Team System (VSTS) prescnlccrl Mi¬ 
crosoft nu cen complete toolset voor 
taken als model lering, project manage¬ 
ment, code-analyse, compilatic (build- 
servers), pri>niing, testen, broncodebe- 
heer en taak- en buglracking* 

VSTS wordt in tegenstclling tot 
VS2005 cen clienl/serveroplossing, Er 
komt een serverproduct voor Visual 
Studio, genaamd Team Eoundation 
Server (I'HS). Een gekortwiekte versie 
hiervan, die voor maximaal vijf ge- 
bruikers geschikt is, is in VSTS zelf 
opgcnomen. Deze heet de Team Foun¬ 
dation Workgroup Server. Clients vt)or 
dc TFS zijn behalve Team Explorer 
binnen VS2005 ook Project, Excel en 
de SharePoini Services. Als basis hceft 
ITS een Microsoft SQL Server en de 
SQL Reporting Services nodig, De 
TFS Ktaat open voor integratie met 
third-party tools. Deze is berekend op 
maximaal 1 .(XK) gebmikers. 

Naast de Class 

Designer die al in dc kern van VS2005 
werd gcYntegreerd, 
omvatten de nieuwe 
modclleergereed- 
schappen cen visuele 
Application Designer 
voor de koppeling 
van comiionenten en 
hun verdeling over 
syslemen. TerwijI de 
Class Designer zich 
direct met dc code 


synchroniseert, levert dc Application 
Designer als uitvoer XML-codc voi- 
gens het schema van het System De¬ 
finition Model (SDM). Deze SDM-be- 
standen moeten ooit ktmnen worden 
ingezet om Windows-systemen vol- 
gens de ontwcrprcgcis le configurereti, 
ma^ir een bijbehorendc tool die dat t>ok 
echt docL heeft Microsoft nog niet gc- 
prescntcerd. Toch is SDM zinvol: het 
vasllcggen van eisen aan elkc compo¬ 
nent van een toepassing, of aan dc sys- 
temen waar deze op moel draaien, kan 
de VSTS-ontwikkelaar al tijdens de 
ontwikkelperiode op heel wat conftgu- 
ratieprobiemcn wijzen. I let tweede, 
sterk doorontwikkcldc loepassirigsge- 
hied van VSTS is het testtrajeci, Onaf- 
hankelijke tools als CLR Profiler en 
Web Stress zijn in de IDE geVnte- 
greerd. Nieuw toegevoegd zijn o.a. 
tools voor slalische code-analyse, unit- 
testing en het dynamisch testen van 
wcbloepassingen. Het broncodebeheer- 
systeem Visual SourceSafe (VSS), dal 
niemand serieus vcnir grote projecten 
diirfde te gebmiken, is eindelijk op de 
schop gcnomeiL VSS 2005 maakt via 
JrlTTP en HTTPS loegang tot projec- 
larchieven mogelijk en biedt bctcre oil' 
dersteuning voor XML en Unictxlc. 
Bovendien beU)of( Microsoft hogere 
prestaties en schaalbaarheid. VSS is 
!os verkrijgbaar, maar maakt (X)k deel 
nit van VSTS. Dc producivarianien 
van VSTS zijn in afbeclding 2 weerge- 
geven. 

Conclusie 

Visual Studit) 2005 inoet een hoop 
zielljes voor .NET gaan winnen. Dat is 
good te zien aan de verschillendc pro- 
ductedities: aan de onderkant van de 
markt wil Microsoft hobby prog ram- 
meurs aanspi^ken en aan de biwenkant 
wordt de markt van de Development 
Life Cycle niet lunger aan IBM/Ra- 
lional, Borland etc. overgelaten. In de 
kern van Visual Studio zijn echter am- 
bivalente strategieen Ic vinden, vooral 
op het vlak van dataverbinding. En 
eenlagig RAD met drag & drop 
spreekt de oude VB6-gemeenschap 
slcrk aan, maar schrikt enterprisc-ont- 
wikkelaars juist af, 

DR. HOLGERSCHWtCHTENBERG 

13 zelfsiandig soltworeorchitecl, Irainer 
en QUteut van verscheidene vokboeken 
m0\ hel occent op Windows en NET. 


Prijzen Visual Studio 2005 (excl. btw) 

full upgrade 

€3746 

€2461 
€ 2140 
CS88 
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64bitprogrannmeren 


64-bit versie van Microsoft .NET Framework 

De switch gaat om 

Holger Schwichtenberg 

Microsoft had al in 2003 een 64-bit variant van .NET 1.1 
aangekondigd, maar die is er uiteindelijk pas in 
november 2005 gekomen met het .NET Framework 2.0. 
Voor ingewijden in de .NET-wereld bevat de 64-bitvariant 
niet veel verrassingen. De enige nieuwe uitdaging zit hem 
in de interoperabiliteit met unmanaged code. 



f an het .NET Framework 2.0 be- 
staan drie varianten: een 32-bit 
en 64-bit versie voor x86-pro- 
ccssoren en een 64-bit versie voor de 
Itanium IA64. Bij de installatie van het 
Framework rangschikt Microsoft de 
AMD64-processoren en Intcls 
EM64T-processoren (Intels implemen- 
tatie van AMD64) onder 'x64'; binnen 
het Framework (System .Reflection . 
ImageFileMachine) vind je ze echter 
onder 'AMD64'. Dit heeft verder echter 
geen praktische gevolgen. 

Het is eigen aan de .NET-architec- 
tuur dat de ontwikkelaar zich nauwe- 
lijks hoeft te bekommeren om het plat¬ 
form waarop programma's draaien: 
elke .NET-compiler genereert platfor- 
monafhankelijke bytecode in de zoge- 
naamde Common Intermediate Lang¬ 
uage (CIL), die de Just-in-Time-com- 
piler (JIT) omzet in processorspecifie- 
ke machinecode op het moment dat de 
applicatie wordt gestart. Daarom loopt 
een en dezelfde .NET-assembly op alle 
platforms. Onder 32-bit systemen ge- 
nereert de 32-bit JIT altijd 32-bit code, 
op 64-bit systemen kan ofwel de 32-bit 
of de 64-bits JIT gebruikt worden. Als 
het resultaat gecompileerde 32-bit 
code is, wordt deze via de 32-bit emu¬ 
lator van Windows, de WoW64 (Win¬ 
dows on Windows 64), uitgevoerd. 
Zo'n constructie zat overigens ook al in 
Windows 95 voor 16-bit applicaties 
van Windows 3.1 (WoW32). 

Welke JIT-compiler het framework 
op 64-bit systemen gebruikt is alTian- 
kelijk van verschillende factoren (zie 
afbeelding 1). De keuze is eenvoudig 
bij assemblies die gebruik maken van 
het nieuwe bestandsformaat PE32+. 
Dit formaat is alleen te gebruiken op 
64-bit systemen en kan dus uitsluitend 
gegenereerd worden voor .NET-2.0-as¬ 
semblies. Een PE32-i-assembly is dus 
een onomstreden kandidaat voor de 
64-bit .IIT. Als je te maken hebt met 
het oudere PE32-formaat, moet eerst 
nog gekeken worden welke .NET-Fra- 
mework-versie je hebt. 

.NET ] .X altijd in 
WoW64 

Hoewel het door het gebruik van 
bytecode in principe mogelijk is om 
.NET-1 .x-assemblies te compileren 
met de 64 bit JIT, heeft Microsoft uit 
veiligheidsoverwegingen besloten deze 
oudere assemblies altijd over te laten 
aan de 32-bit JIT. Het risico bestaat 
namelijk dat de oudere assembly direct 


32-bit native code zou oproepen, en 
daar weet het 64-bit framework geen 
raad mee. De hieronder beschreven op- 
ties in de CLR-header waren nog niet 
aanwezig in .NET 1 .x, zodat het veili- 
ger is om de applicatie altijd met de 

32-bit JIT o p te starten. _ 

Maar ook bij .NET-2.0-applicaties 
moeten controles worden uitgevoerd. 
Om te zorgen dat de code daadwerke- 
lijk bij de 64-bit JIT belandt, moet er 
aan twee voorwaarden voldaan zijn. 
Op de eerste plaats moet de complete 


assembly uit CIL-code bestaan (er mag 
dus geen ingebouwde native code in 
zitten, wat mogelijk is met Visual C-f-+ 
vanaf versie 7.0). Op de tweede plaats 
mag je geen externe 32-bit native code 
gebruiken in de vorm van C-DLLs of 
COM-componenten. Een assembly 
maakt zijn eisen bekend door middel 
van de nags 'IL only’ en ’32-bit requi¬ 
red' in de CLR-header. Als 'IL Only' 
niet of '32-bit required' wel gezet is, 
dan is de desbetreffende assembly een 
geval voor de WoW64. 


126 












Hcl sctup-pakket voor het *NET Frame- 
work [li] vtK>r 64-bit sysleinen is mini 
twee keer zo groof uls de 32-bit variant: 
dc 1A64 neemt 54 MB in besfag en de 
x64 47 MB, legcn 22 MB voor het 32- 
bit pakket. De reden hicrvtKir is dat de 
64’bit variant meteen de 32-bitrunlimc 
op de pc mee installeert* In de map 
/Windows/Microsoft J^ET/ siaan dan 
ook twee siibrmippen: Framework en 
Framework64 (zie afbeelding 2), 

Voor de oniwikkeling van het 64-bit 
framework was het volgens Microsoft 
nodig om de Common Language Run¬ 
time (CLR) nicl allccn aan te passen, 
maar ook om wezenlijke componcnten 
crvan opnieuw te schrijven, Dat geldt 
met name vix>r de Jusi-in-TtmeHDOnipi- 
!er, garbage collector, exception hand¬ 
ling, debugging en code generation. 
Hierdwir be slant de mscorlib.dll^ de 
kern van de CLR, in ecn 32- cn een 
64-bit variant. Bijna alle andere DLL’s 
komcn cchtcr niaar in variant voor; 
voor de klassenbibliothcck en de overi- 
ge componenteii van her .NET Frame¬ 
work waren slechts weinig aanpassin- 
gen nodig. De rcspcciicvelijke oniwik- 
kelteams hoefden daarvoor dus geen 
eigen projecteii op te zetten of speciaal 
voor 64^bit .NET mankracht beschik- 
baar te stellen. Een blik op dc Global 
Assembly Cache (GAC) laat zien dat 
maar negen van de systeem-assemblies 
in een specifieke 64-bit vcrsic bestaan. 


Een integer is een 
integer 

Dc geheugengrootte en het hereik 
van de standaard-dalatypes zijn gelijk 
op beide platforms, omdal de Common 
Language Specification (Cl^) die 
vastlegt: 7.0 bcslaal con variabele van 
hei type System Jnt32 ook in 64-bit- 
rntnle slechts 4 bytes, Ook dc albcci- 
ding van de taalspecifieke datatypes is 
onveranderd geblevcn: Dim a as Integer in 
VB en int a; in C#, C^h- of Jff Icvcren 
nog steeds cen System JntSl op. In de 
eerste versie van .NET was er onder- 
steuning voor de 64-bit integer-waar- 
den dtMir middel van het type 
SystemJnt64 (alias long). Het feit dat 
dii type intern nu in een in plants van 
in twee woorden wordt opgeslagen, 
speelt helemaal geen rol. 

Slechts in een geval is dc lypcgnx)t- 
tc afhankelijk van het platform: het 
type System.fntPir, dal pointei^ verte- 
genwoordigt, is afhankelijk van de pro¬ 
cessor ofwel 32 of 64 bit. Dit kan lei- 
den lot incompalibilileil bij de interope- 
rabiliteit met unmanaged code, als 
.NET 64 bit verwacht, maar de unma¬ 
naged code slechts 32 bit aanlevert. De 
dataconversie tussen managed en un- 
managed code wordt marshalling ge- 
noemd. Met .NET kun je bi] de mars¬ 
halling van typen een cxpliciele opsla- 


Jl-TRACT 

• Intermediofe Longuoge, de 
taal- en plalformonofhonkelijke 
bylecode^ kan in principe op 
32- en 64-bil systemen I open 
zonder oanpassingen, 

m Samen met het .NET Frome- 
work 2.0 levert Microsoft nu 
de langverwQchte runtime- 
omgeving voof 64-bit 
Windows. 

# Als een .NET-2.0-ossembly 
aongewezen is op 32 bit 
unmanaged code, moet de 
applicatie wel in de 32-bit 
emulator WoW64 lopen. 
Assemblies van de Lx*versie 
doen dit sewieso, zonder dat 
ze opnieuw vertoald hoeven te 
worden. 


glay-out aangeven. Daarbij kun je leke- 
ning houden met de groterc offsets die 
nodig zijn voor IntPtr^. Programmeurs 
die System.Int32 aJs syuoniem voor 
System JntPtr hebben gchruikt, moeten 
dat nu natuurlijk ook verandcren. 

.NET 2.0 bcvai helaas geen directe 
methode om te zien of cen assembly 
als 32- of 64-bit code loopt. De ont- 
wikkelaar kan wel de afwijkende 
grootte van het type System.intPtr als 
ondcrscheidend criterium gebruiken. Dc 
grtxrttc van dit type staat in het attribuut 
(/Jc listing I). 

Een .NET-applicatie kan op 64-bit 
pc’s zonder verdere aanpassingen het 
grootste interne geheugen gebruiken 
(maximaal 16 TB in plaats van 4 GB). 
Miemsoft lieeft de restricties op objec- 
ten niet vemnderd; cen afzonderlijk ob¬ 
ject mag niet meer dan 2 GB RAM in 



Verschillende Frameworbversies 
gocin scimen in de Windows-directory 
(ctfbeelding 2) 
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PRAICTiJK 


64-bitprogrammeren 


hliX MT-platform testprogrammj 


Aminb^v HeloWofld^VBNET^KET30 ' ' ' 

Qiltie irtvarianf Language (jnvafianH CouniipJ 
Voftiort: 1 O.B 0 
CLflhaacjflfftagr ILOr^ 

Location: C:y>^HeffldWo^^d_VBNET_NET2\to^H0ldW 
GAC: Fat^e 
Oatafwfnaati [388 

Framewotk Vefiwn: v2.0.50727 . . - 

Just-IrhTifne Compiler B4 bd .=| 


Zo meidt een echt plorfortnonafliankelijic 
.NFT-2,0-progranimo {'AnyCPU') tkh aan 
op een 644)it pc (afbeelding 3). 

bcslag ncmcn, en array-grenzen zijn 
nog steeds vastgesield in hel type liUJ2. 

Visual Sfudio alleen als 
32-bit applicatie 

Ren ander verschil lussen 32- cn 64- 
bit systemen zil in floating-point-beie- 
keniiigcn. Volgens lEEE-standaard 
754 zijn er verschillen mogclyk lussen 
32- en 64-bit systemen. (>m universeel 
inzetbaar Le zijn, moet een applicatie 
dus geen exacte vergelijkingst^peraties 
doen tussen dergelijkc gelallen. 

Visual Studio 2005 bestaat alleen in 
een 32-bit variant, die je wcl op 64-bit 
systemen kuni installercn en die daar 
dan in WoW64 ltx)pt, Aangezien een 
applicatie vanuit WoW64 geen toegang 
kan krijgen tot 64-bii ctxle, zou het de- 
buggeii van applicaties dus niet moge- 


lijk zijn. Om dit pn>bleem op te lessen, 
gebruikt Micn)sort gewoon het in Visual 
Studio geVntegreerde Remote Debug¬ 
ging. Echt onmogclijk is het debuggen 
van managed etxle en native code door 
clkaar. Een iindete functie die J^JET-ont- 
wikkelaars zuDen missen als ze Visual 
Studio 2005 tip cen 64-hit pc gebruiken 
is ^Edit & Continue" (code tijdens de¬ 
buggen veranderen zondcr de applicatie 
opnieuw tc hoeven opstarten) 

Orndat ClL-code niet specifiek 32- of 
64-bit is, is het gebruikie omwikkclplat- 
form vollcdtg irrelevant voor de latere 
runtime. Zoals blijkt uit afbeeldmg I, 
maken voor uitvoer hcl bestandsformaat 
en de CLR-header-waarden alles uit. 
Die beheert de ontwikkelaar in VS via 
het keuzemenii 'Solution PlatlbmV in de 
standaard werkbalk van de IDE, 

Dc instelling 'AnyCPU' die Micro¬ 
soft 'ncutrar noemi (zic label cn [iii]) 
verdient duidelijk dc vtMirkcur. Zo kan 
de applicatie op 32- en 64-bit systemen 
starten en kan hij steeds de lolale be- 
schikbare processorcapaciteit gebrui¬ 
ken. Mel alle andere instellingen 
beperki de ontwikkelaar de plalform- 
onafhankelijkbeid op cen kunstmatige 
manicr. Zo’n beperking is alleen maar 
nodig als de applicatie native code ge- 
bniikt, dus bijvoorbccld COM-compo- 
nenten of oude C/C++-DLL's die niet 
bestaan in een 64-bil variant. In hel 
sJechtste geval start dc 64-bit JIT een 
,NET-appIicatie /.under te zien dat er 
cen 32-bit DLL voor mxlig is, Zcxlra 
de DLL wordt opgcrocpcn, erasht dan 
het programma. 

Hel inlegreren van .NET-Lx-compo- 


De configurcities in detail 


Instelling 

Bestandsformaat 

CLR header-invoer 

32-bit 

64-bit 

WoW64 

AnyCPU 

PE32 

IL Only 

jo 

jd 

nee 

m 

PE33 

IL Only, 32bitRequired 


jo 

jd 

x64 

Pf32* 

IL Only, PE32PIUS 

nee 

jd (dlleen x64) 

nee 

llamum 

PI32* 

11 Only, PE32PLUS 

nee 

jd (dlleen ttdmum) 

nee 


Het .NET Framework 64-bit enline 

i Inleiding msdn.microsofl.cbm/netfmmewofk/programming/64bif/defaull.aspx 

ii De SDK msdn.mrcrosofLcom/netframework/progromm(ng/64bit/devtool5/ 

iii Video msdn.mlcrosoft.com/msdntv/episode,aspx?xml“spisodes/ 

en/2003073 Iclrcb/manifesf.xmt 


Listing 1 


Prhite kb knl.LDiltlrViL fti 
frVll i n Sritei.hfiUrit} landles 

Ocsiiif (K> auueU iiietbljf 

Ui I iruti.fiEUcaion.tEitibijf = 

' tnforaitir otk- di intibLif 

• t _ 

i.kmMO.NiiE 

li.CjuOdre.IUt - •CyUifrer“ I _ 

I M eN 0. Cu [ t ur E E fl f 4. Ii t i vtlii e 
lE.CJflrjifln.lfxt - Itriin: t ^ 

B(,t_UcjtiflH.TEn = autitiodi • 
i.LHUhei.fiFSLripgt} 

= "SAC: ' I ^ 

a.UebiUsifihtjfCsche.MntngU 

' ([EtiilB eitr (ilitf^rircaflfijuritii 
lit pecM Ai Nflectiofl.NrtabteExicunbteliids 
bii iicUn Is ItflntldBitisierUdiEbiiiF 
I.Milifc St Mo4u Le.EeIPECind titd, u c bint1 
li.CJtiis.Tdi = -ELI iHitf fUai: ' I . 
peOnd.r^SrHnjO 

IrCJjpf.Ttit - "litiforiHt: " I _ 
latbinJoStnnfU 

le.rjrufMrfefcrsiwJdl = 'Frntvdrt Ktrstn: " 
I iJiapitBfltiittfKUtiii.TDltrinfn 
Me,Uit Jen = "JtisHHtte CflipHer: * i 
iimeiJmPtr.SUe < DJ&JtHfijO I 'bit* 

End Sub 


Imptementalie van het .MET-platform- 
testprogramma in Vtsuol Basic. 


nenten in .NBT-2,n-applicaties gaat 
problcemloos, want in dat geval ver- 
taalt de 64-bit Jll' (Kik dc oude compo- 
nenien, Alleen J#-ontwikkelaars zijn 
bcperkl in hun mogelijkheden, Omdal 
de Mjcrosoft-implcmenlalic van de 
Java-bibliotheck (jdihjfU) niet als 64- 
bil versie beschikbaar is, blijft voor 
him alleen de 'x86'-uptie over. 


Conclusie 


Ztlwcl in ihcorie als in de praktijk 
werken .NET-applicaties prima op 
Windows-64-bil. Al gebruiken ,NBT- 
Lx-applicalics daarbij slechfs 32 bit. 
Om die toch de volledige capaciteil te 
laten gebruiken, moct je ze opnieuw 
compileren rnci Visual Studio 2005, 
Een bytecode-binary maken is dan vol- 
doende, want het ,NET Framework be- 
paall zeir wat het optimale aantal bits 
is. VtK>r programmeurs die niet puur in 
.NET werken maar zclf poinlcrbereke- 
ningen doen of native code oproepen, 
kan hcl porteren van de code naar 64- 
bit extia tijd kosten. Ontwikkelaars 
van COM-applicaties hebben het daar- 
bij aanzicniijk lastigerdan anderen. 


DR, HOIGER SCHWICHTENBERG 

is freelonce software architect, rminer 
efi auteur von vele boeken over 
Windows en NET, ^ 
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Linux-server tuning 

Vrij nuar het inotlo ’’Wat hci programma ook doet* dankzij 
Moore^s law wordt het elk jaar toch wecr sneiler" heerst er in de 
IT een rots^vast vertrouweii in de preslaties van dc moderne hard¬ 
ware* Maar mcl slim me optimal isaties lyssen hardware en 
besturiiigssysteem kun je nu al stille reserves aanspreken en zo 
vcel mcer snclheid bcreiken. Tijd om in ccn nicuwe dricdcligc tu- 
lorial tc laten /ien waar en hoc jc cen Linux-server kunt tweaken* 



C# 3.0 met nieuwe elementen 

Hind 2005 lici Microsoft een eerste glimp van de nieuwe versie 
3.0 van Cl met de codenaam "Orcas” zien* Tol de nieuwigheden 
behorcn ondcr andcrc uiigehrcidere mogelijkheden voor object 
initialisatie, evenals de declaralie van datatypcji en zogeheten 
Lamhda-expressies, die een representatie van anonieme methoderi 
tnogelijk rnaken. Met cen paar voorbeelden laten we zien hoc daL 
er con creel nit ziel. 


iX 3 verschijnf op 25 april 


Build-processen met Maven 2 

Mavcn is een Apache-project voor projectmanagement en auto- 
matische compilatie, dat steeds vaker in Java-softwarepmjccten 
gebruikt wordL De onlangs uilgckomcn versie 2 is complect 
hcrschrcven: van de plugins en het reguleren van het btiildproces 
tot de padparameters, alles is verbeterd. De integratieserver 
Continuum zorgt cr daarbij v4>or, dat er regetmaiig auiomaiische 
compilatics cn tests van de code worden uitgevoerd* iX neemi con¬ 
tact op met een N^erlandse Maven-ontwikkebar. 

Tunneling met OpenVPN en IPv6 

Als Je veci met je notcbotik op pad bent cn daardm^r tussen I oca- 
tics cn neiwcrkcn moci wisscien, blijf je hc/ig met het instellen 
van IP-adressen om op je eigen netwerk te komcn. Niei alia bedrij- 
ven gebruiken immers DHCP* Maar mcl iPv6, OpenVPN en ccn 
paar scripts kan dal ccn stnk makkclijker* 

Asterisk als antwoordapparaat 

In deze iX hebben we laten zJen dat het relatief eenvoudig is om 
Asterisk aJs interne tclefooncentralc te gebruiken. In het volgcndc 
dcci van dc tutorial hhjkl dat het een sluk lasligcr is om Asterisk 
als antwoordapparaat te configureren. Wij vertellen je hoc je dat 
kunt doen en laten je ook zicn hoc jc niccrdere Astcrisk-systemcn 
in 6dn netwerk ondcr kunt hrengen* Als hiatslc bespreken wc hoc 
je Asterisk kunt gebruiken als VoiP-gateway voor eeii lelccommu- 
n [cat ie-i n stall atie* 

IPv6-workshop (deel 3) 

Voor cen volwaardige lPv6“omgeving heb jc bchalvc diverse ser¬ 
vices tx)k een brug notiig tussen IPv4 en IPv6 en een exteme ver- 
binding die overweg kan met IPv6* In het derde deel van onze 
IPv6-lulorial gaan we ook in op struciurcic overwegingen met bc- 
trekking lot de vciligheid. 
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What's in a name 



Biertje.EU 


Registreer je -EL) domein nu! 


Fase 1 Fase 2 Fase 3 


Van woensdag 7 december 2005 
tot maandag 6 februari 2006 zullen 
alleen publieke instanties en de 
houders van geregistreerde merk- 
namen Ctrade marks) een aanvraag 
kunnen doen. 


Van 7 februari tot 6 april 2006 
krijgen ook de claims van wie 
andere rechten kan laten gelden^ 
een kans. Het gaat dan bijvoorbeeld 
om een bedrijfsnaam of een 
artistieke naam- 


Vanaf 7 april 2006 wordt de 
registratie volledig vrij en hoeft men 
geen rechten meer te bewijzen om 
een bepaald .eU“domein te regis- 
treren. 


Ga voor meer informatie naar eu.active24.nl of bel 0800-2266666 


DOME tNN AMEN 


WEBHOSTING 


DEDIGATEOSERVtR 


BLOG & PODCASTING 


-ONLINEBACK-UP 













Interconnect 


connecting your busina 


uw servers 
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